Giriş

Blockchain teknolojisi hızla geliştikçe, merkezi olmayan yönetişim modelleri dağıtılmış ağların bel kemiği haline geldi. Topluluk üyelerine karar alma süreçlerine katılmaları için eşit fırsatlar sunarlar ve onlara protokollerin gelecekteki yönü hakkında söz hakkı verirler. Ancak bu aynı zamanda yönetişim saldırılarının artan tehdidine de yol açar.

Compound'a yapılan son saldırı, bu riski açık bir şekilde göstermektedir. Bu makale, böyle saldırıların nasıl gerçekleştiğine, çeşitli formlarına ve sundukları risklere, aynı zamanda bu zorlukların hem teknik hem de topluluk düzeyindeki iyileştirmelerle nasıl ele alınabileceğine dair detaylı bir bakış sunmaktadır.

Governance nedir?

Kripto para alanında, yönetişim, blok zinciri protokollerinde değişiklikleri oy kullanarak yönetmeyi ifade eder. Genellikle, geliştiriciler veya topluluk üyeleri değişiklikleri önerir, ardından token sahipleri bunları oylar. Bir teklif yeterli destek alırsa ve kota gereksinimini karşılarsa uygulanır; aksi takdirde reddedilir.

Geleneksel organizasyonların merkezi yönetime dayandığı aksine, yönetim mekanizmaları, geniş topluluk katılımını ve özerkliği teşvik etmek için akıllı sözleşmeler ve yönetim token'ları kullanan Merkezi Olmayan Özerk Organizasyonlar (DAO'lar) kavramıyla yakından ilişkilidir.

DAO'ların Geleneksel Organizasyonlardan Nasıl Farklı Olduğu

Bir Yönetim Saldırısı nedir?

Yönetişim mekanizmaları, merkezsizleşme için potansiyel faydalar sunarken, aynı zamanda sömürülebilir zayıflıklara da sahiptir.

Örneğin, oy gücü token sahipliğiyle doğrudan ilişkilidir, bu da büyük sahiplerin veya "balinaların" kendi çıkarlarına uygun değişiklikler önermesine ve oy sonuçlarını manipüle etmesine olanak tanır. Ayrıca, herhangi bir token sahibi önerilerde bulunabilir, bu da düşük kaliteli veya kötü niyetli önerilerin artmasına yol açar. Ayrıca, yönetim önerilerinin karmaşıklığı genellikle sıradan kullanıcıları katılmaktan caydırır ve karar alma sürecini kontrol eden küçük bir grup oluşturur.

Yönetim saldırıları, merkezi olmayan protokolleri manipüle ederek bu zayıf noktalardan faydalanır - saldırganlar yeterli oy gücü veya token sahiplerini etkileyerek uygun teklifleri veya hatta protokolün kontrolünü ele geçirebilirler. Bu tür saldırılar kripto alanında giderek yaygınlaşmıştır ve protokollerin güvenliği ve istikrarına ciddi tehditler oluşturmaktadır.

Yönetim Saldırılarının Ana Biçimleri

Oylama Manipülasyonu
Bu, saldırganların yönetim belirleyicilerini büyük miktarda yönetim jetonu biriktirerek manipüle ettiği en yaygın yönetim saldırılarından biridir.

Bu saldırıyı gerçekleştirmek için operatörler genellikle önceden yeterli miktarda jeton satın alır veya hızlı kredi kullanarak belirli kararlar için önemli oy gücü elde eder, ancak kredileri hemen geri öderler.

Saldırganlar oy gücünün %50'sinden fazlasını ele geçirdiğinde, önemli bir kontrol sağlarlar, bu da merkezi olmayan yönetimi atlayarak değişiklikleri tek taraflı olarak uygulamalarına olanak tanır - istedikleri zaman ekonomik parametreleri değiştirme veya tüm protokolü felç etme gibi.

Bu yıkıcı saldırı biçimi, uzun vadeli jeton sahipliği gerektirmeksizin yönetişimin manipülasyonuna olanak tanır, genellikle jeton fiyatları düşükken meydana gelir ve büyük miktarları hızlı bir şekilde elde etmeyi kolaylaştırır.

Öneri Kaçırma
Öneri kaçırma, saldırganların sisteme zararlı gizli kusurlar içeren ancak meşru görünen öneriler sunarak gerçekleştirdiği yanıltıcı bir yöntemdir. Bu öneriler genellikle saldırganları lehine ekonomik parametreleri ayarlamayı amaçlar ve ardından oy güçlerini kullanarak sonuçları etkilerler. Bu stratejinin başarılı bir şekilde uygulanması için saldırganların protokol hakkında kapsamlı bir anlayışa sahip olmaları ve önerilerinin geçmesi için yeterli topluluk desteğine sahip olmaları gerekir.

Bazı teklifler protokolü optimize etmek için tasarlanmış gibi görünse de, uygulamaları ciddi yönetişim risklerine yol açabilir. Sistem içindeki güveni istismar ederek, saldırganlar standart korumaları atlayabilir, protokolü zafiyetlere ve finansal kayıplara maruz bırakabilir ve potansiyel olarak kontrol tamamen çökebilir. Compound'da gerçekleşen 25 milyon dolarlık yönetişim saldırısı dikkat çekici bir örnek olarak hizmet eder, burada saldırganlar, protokol fonlarını kendi kontrolü altındaki hesaplara yönlendirmenin gerçek amacıyla görünüşte masum bir teklif sundular.

Compound Protokolüne Giriş

Proje Genel Bakışı
Compound, 2018 yılında Robert Leshner ve Geoffrey Hayes tarafından kurulan Ethereum üzerinde geliştirilen çığır açan bir DeFi protokolüdür. Bu protokol, kullanıcıların faiz kazanmak için kripto paraları yatırmalarına veya varlıkları teminat olarak kullanarak diğer varlıkları ödünç almalarına olanak tanır.

Öncü bir kredi platformu olarak, Compound, arz ve talep algoritmalarını kullanarak faiz oranlarını belirler ve kullanıcıların Ethereum varlıklarının zaman değeri ticaretini sorunsuz bir şekilde yapmalarını sağlar. Bu, önemli yatırımlar çekmiş ve merkezi olmayan kredi piyasasını büyük ölçüde ilerletmiştir, bu nedenle “blok zinciri dünyasının bankası” olarak adlandırılır.

Compound Protokolü Logosu

Compound Protokolünün İşletme Prensibi
Compound protokolünün rolü, boşta olan borç verenlerle borç ihtiyacı olan borçlular arasındaki finansman boşluğunu doldurmaktır. İlk olarak, mevduat sahipleri dijital varlıklarını protokolün varlık havuzuna yatırır ve borçlular bu varlık havuzundan belli bir teminat oranıyla fon alabilir.

Örneğin, bir kullanıcı dijital varlıkları teminat olarak gösterdikten sonra, eşdeğer jetonları bir mevduat sertifikası olarak alır ve bu sertifika aynı zamanda gelecekteki kurtarma işlemleri için de kullanılabilir. Mevduat sahipleri dijital varlıklarını Compound'un varlık havuzuna yatırdıktan sonra, faiz kazanmaya başlarlar. Bu faiz, yatırılan miktar temel alınarak birikir ve her Ethereum bloğu oluşturulduğunda hesaplanır ve güncellenir, bu sayede kullanıcıların genel getirisi blok oluştukça artar.

Compound Protokolünün Nasıl Çalıştığına Dair Basit Bir Bakış

COMP Token Tanıtımı

Token Fonksiyonelliği
COMP, Compound tarafından oluşturulan ERC-20 yönetişim tokenıdır ve protokolün yerel kripto parası olarak hizmet verir. Kullanıcılara Compound'un merkezi olmayan yönetişimine katılma olanağı tanır ve token sahiplerine protokol değişiklikleri hakkında tartışma, öneri ve oy verme yetkisi verir.

COMP tokenları, kullanıcıların Compound protokolüyle etkileşimde bulundukları “lend-to-mine” (ödünç verme madenciliği) mekanizması aracılığıyla ücretsiz olarak dağıtılır, yani kullanıcılar depozit veya borç verme işlemi yaptıklarında COMP kazanırlar. Ne kadar çok borç alırlarsa, o kadar çok COMP alırlar.

Emitasyon aşamasında, 4.229.949 COMP jetonu, her bir Ethereum bloğundan 0,5 COMP (günlük yaklaşık 2.880 COMP) dağıtacak şekilde belirlenen bir akıllı sözleşmeye kilitlendi ve tam bir dağıtımın dört yıl içinde tamamlanması bekleniyor. Bu jetonlar, farklı borç verme piyasaları (ETH ve DAI gibi) tarafından oluşturulan faizlere dayanarak tahsis edilir ve yarısı varlık sağlayıcılara, diğer yarısı ise borçlulara gider, böylece piyasa likiditesi artar.

Yönetim açısından, COMP jetonlarının sahipleri fikirler önererek, oy kullanarak ve protokol parametrelerini ayarlayarak katılım sağlayabilirler; oy verme gücü doğrudan tutulan jeton sayısıyla ilişkilidir - daha fazla jeton daha büyük etki anlamına gelir.

Son COMP Token Fiyatı

Token Karar Verme Süreci
Compound protokolü için teklif ve karar alma süreci birkaç adımı içerir:

Öncelikle, toplam COMP arzının %1'inden azını elinde tutan herhangi biri bir öneri sunabilir. Eğer yeterli destek kazanır ve 100,000 delegasyon oyu eşiğine ulaşırsa, resmi bir yönetim önerisi haline gelebilir (tüm öneriler yürütülebilir kod olmalıdır).

Sonraki olarak, oy dönemi yaklaşık 3 gün sürer, bu süre zarfında COMP sahipleri oy kullanabilir.

Bir öneri %50'nin üzerinde destek alırsa ve minimum oy gereksinimini aşarsa, kabul edilmiş olur.

Onaylandıktan sonra, topluluğun yanıt vermesi için 2 günlük bir Zaman Kilidi kontrat gecikmesine girer.

Compound Protokolünün Öneri Karar Alma Süreci

Bileşik mekanizmanın artıları ve eksileri

Avantajlar

1. Merkeziyetsiz Yönetim

Compound, tamamen merkezi olmayan bir yönetim modeline sahiptir ve karar verme gücünü birçok COMP sahibinin eline verir. Bu, kredi, tasfiye ve oy ile ilgili önemli kararları içerir ve protokolün yönünün sadece geliştirme ekibine değil, topluluk katılımına dayandığından emin olur.

1. Güçlü Kullanıcı Katılımı

COMP tokenu, kullanıcı çıkarlarını Compound büyümesiyle ilişkilendirir ve çoğu sahibin aktif kullanıcı olmasını teşvik eder. COMP fiyatı arttığında, kullanıcılar fayda sağlar ve bu da daha aktif katılıma yol açar, bunun sonucunda sermaye ve COMP değeri artar, olumlu bir geri besleme döngüsü oluşturur.

Cons

1. Net Hesap Verebilirlik Yok

Merkezi olmayan yönetişim, tek bir sorumlu taraf olmadığı anlamına gelir. Bu, kötü kararlar veya suistimaller için suçu atamayı zorlaştırabilir ve yönetişimde belirsizliğe yol açabilir.

1. Yönetim Tokenlerinin Merkezileştirilmesi

Büyük sahipler ve takımlar, COMP jetonlarının neredeyse %50'sine sahip, oy verme ve karar alma gücünü yoğunlaştırarak merkezi olmayan yönetimin adaletini zayıflatabilir ve daha büyük pay sahiplerinin çıkarlarını destekleyebilir.

1. Verimsiz Karar Verme

Tamamen merkezi olmayan bir sistemde, her öneri topluluk tartışması ve oylaması gerektirir, bu da zaman alıcı ve verimsiz olabilir, oy verenlerde yorgunluk ve yönetimde azalan katılıma neden olabilir.

Bileşik Tartışmanın Yükselişi ve Düşüşü

Anahtar Tartışma Olayı
29 Temmuz 2024'te Compound, 499.000 COMP tokenini (yaklaşık olarak 25 milyon dolar veya kasasının %5'i) izlenmeyen bir çoklu imza adresine transfer eden Öneri 289'u geçti, bu da önemli topluluk endişelerine neden oldu.

Teklif, bu tokenleri bir yıl boyunca "Golden Boys" ekibi tarafından kontrol edilen goldCOMP getiri protokolüne tahsis etmeyi amaçlıyordu ve onayının "Golden Boys"un arkasındaki paydaşlar tarafından manipüle edildiği suçlamalarıyla.

Compound Protokolünün Öneri Karar Alma Süreci

DeFi topluluğunda öne çıkan bir "balina" olan Humpy, Compound kasasındaki boş COMP tokenlarının yönetim kontrolünü ele geçirmeye çalıştı. Neyse ki, önerinin başlangıçta onaylanmasına rağmen, 48 saatlik yoğun müzakere ve topluluk tartışmasının ardından sonunda geri çekildi ve topluluk için getiri sağlayan protokolün etkinliğini artıran yeni bir getiri yeniden dağıtım planına yol açtı.

Zaman Çizelgesi Genel Bakış: Tartışmanın Oluşumu

• 6 Mayıs
  Teklif 247 başlangıçta Golden Boys ekibi tarafından tasarlanan "hazinenin COMP'unun (499.000 token) %5'ini goldCOMP'a yatırmayı" önerdi. Seçmen katılımının yetersiz olması nedeniyle iptal edildi.

Teklif 247 Ekran Görüntüsü

• Mayıs'ın ortası
  Bir güvenlik firması olan OpenZeppelin, topluluk forumlarında, önerinin bir yönetim saldırısı olabileceği konusunda uyarıda bulundu ve önerenin kimliğinin bilinmediğini ve önceden toplulukla tartışılmadığını belirterek endişelerini dile getirdi; yönetim hesabı Wintermute da önerinin şeffaflığıyla ilgili endişelerini dile getirdi.

• 15 Temmuz
  Öneri 279, “DAO'nun altınCOMP'ye yatırım yapması için bir güven oluşturma” önerdi ve bir yıl boyunca 92.000 COMP jetonunu goldCOMP protokolüne transfer etmeyi önerdi, ancak oy verme gereksinimlerini karşılayamadığı için iptal edildi.

Öneri 279 Ekran Görüntüsü

• Temmuz 24
  Teklif 289, "bir yıl boyunca 499.000 COMP tokenini goldCOMP'a yatırma" fikrini yeniden gündeme getirdi ve potansiyel yönetişim saldırıları hakkında devam eden endişelere yol açtı.

Compound Topluluğu Üyeleri Tarafından Yapılan Genel Tartışma ve Sorular

• Temmuz 29
  Öneri 289, 682.000'e karşı 633.000 oyla kabul edildi. Kamu tartışmasının eksikliği ve varlık güvenliği konusundaki endişeler nedeniyle geniş çapta tartışmalara neden oldu. Compound güvenlik danışmanı Michael Lewellen, birkaç hesabın oy vermek için COMP jetonları satın aldığını ve bazılarının DAO yönetimini kişisel kazanç için sömürdüğünü belirtti.

Öneri 289'in Ekran Görüntüsü

• 30 Temmuz
  Humpy, Compound'un hazinesinden goldCOMP kontrolündeki hazineye 25 milyon dolar değerinde COMP tokeni aktarmak için oylama gücünü kullanmakla suçlandı. Daha sonra, Golden Boys topluluğu tarafından çıkarılan yönetişim tokeni GOLD'un fiyatı iki katına çıkarak %46'nın üzerinde arttı.

Son Karar: Uzlaşma Sağlama
Tartışma sona erdi, Compound Humpy ile anlaşmaya vardı. Özellikle, Humpy taleplerinden vazgeçecek ve öneride yer alan COMP jetonlarına sahip olmayacak; karşılığında, Compound, bu kazançlar daha önce ekibin kontrolünde olduğu için yeni yıllık gelirinin %30'unu COMP token sahiplerine tahsis edecektir.

Saldırı operasyonunun başarısı, 'Golden Boys' dan ilgili tokenların fiyatlarının yükselmesine neden oldu ve COMP tokenları resmi olarak bir 'verim getiren varlık' haline geldi. Ancak, öneri Compound protokolüne herhangi bir gerçek fayda sağlamadı ve belirli rezervlere olan kontrolünü zayıflattı, bu da onun bir yönetim saldırısı olarak sınıflandırılmasına neden oldu. Humpy, bu yönetim mücadelesi aracılığıyla Compound protokolü içinde reformları teşvik etti.

Olaydan Sonra Sosyal Medyada Humpy'nin Açıklaması

Yönetim Saldırılarının Çok Boyutlu Riskleri

Yönetim saldırıları, kısa ve uzun vadeli endişelere dönüştürülebilecek bir dizi risk sunar, aşağıda belirtilmiştir:

Kısa Vadeli Tehditler

a. Protokol Güvenliği Riski

Yönetim saldırılarının anlık etkisi, fon ayrımıyla ilgili önerilerde özellikle protokolün fon güvenliği için önemli bir tehdit oluşturmaktadır. Saldırganlar zararlı öneriler sunabilir veya oy süreçlerini manipüle edebilir, protokol için zayıflıklar ekleyebilir, akıllı sözleşme kodunu değiştirebilir veya hatta sistem arızaları veya varlık donmalarına neden olabilir. Bu, piyasa güvenini zedeler ve hem kullanıcılara hem de geliştiricilere büyük baskı uygular.

b. Kullanıcı Varlıklarının Değer Kaybı

Başka bir hızlı sonuç, token fiyatlarında keskin bir düşüş ve kullanıcı varlıklarının hızlı bir şekilde değer kaybetmesidir. Piyasa, protokolün yönetişim yapısının saldırı altında olduğunu fark ettiğinde, genellikle panik satışları ortaya çıkar ve önemli piyasa dalgalanmalarına ve kullanıcı varlıklarının değerine etki eder. Örneğin, yakın zamandaki Compound token transferi olayında, COMP fiyatı bir haftada neredeyse %30 düşerek 53.6 dolardan 37.9 dolara düştü. Ayrıca, bazı saldırganlar doğrudan akıllı sözleşmeleri manipüle edebilir, bu da kullanıcı fonlarının kaybına veya kötüye kullanılmasına yol açarak önemli ekonomik zarara neden olabilir.

COMP Token Fiyatı Sadece Bir Haftada %30 Düştü

Uzun Vadeli Hasar

a. Platform İtibarının Erozyonu

Yönetim saldırıları, yalnızca anlık varlık kayıplarına neden olmakla kalmaz, daha da önemlisi, kullanıcı ve topluluk güvenini protokolde zedeler ve uzun vadeli sürdürülebilirlik ve büyüme açısından tehdit oluşturur. Merkezi olmayan protokollerin başarısı, kullanıcı güvenine ve geniş katılıma bağlıdır; manipülasyon gerçekleşirse, kullanıcılar ve yatırımcılar protokolün adil ve şeffaf olup olmadığını sorgulayabilir ve bu da ilgi azalmasına veya yatırımların geri çekilmesine yol açabilir, en nihayetinde protokolün piyasadaki konumunu zarar verebilir ve geleceği üzerinde kalıcı olumsuz etkiler yaratabilir.

b. DeFi Ekosistemi Kararlılığına Tehdit

Daha derin bir düzeyde, başarılı bir yönetişim saldırısı, protokolün yönetişim yapısındaki ve tasarımındaki zayıflıkları ortaya çıkararak uzun vadeli güvenliği ve güvenilirliği hakkında endişeleri artırır. Etkili bir şekilde ele alınmazsa, daha geniş DeFi ekosistemindeki ilgili protokollerin güvenilirliğine meydan okuyarak daha benzer saldırılara yol açabilir. Ayrıca, sık sık yapılan yönetişim saldırıları, düzenleyicileri inceleme ve müdahaleyi sıkılaştırmaya sevk ederek uyumluluk ve operasyonel riskleri artırabilir. Bu, yönetişim modelinin etkinliğine yönelik topluluk güvensizliği yaratırsa, ekosistemin genel istikrarını daha da zayıflatabilir ve proje geliştirme için devam eden tehditler oluşturabilir.

Yönetim Saldırılarına Karşı Stratejiler

Humpy'nin eylemleri topluluk kurallarına uygun olsa da, bu olay merkezi olmayan DAO yönetişimindeki önemli sorunları vurguladı: bireysel kullanıcılar kişisel kazanç için oyları manipüle edebilir ve bu tür suistimalleri önlemek için daha güçlü yönetişim stratejilerine duyulan ihtiyacı vurgulayabilir.

Bu amaçla, yönetişim saldırılarının risklerini azaltmak için potansiyel önlemler olarak aşağıdaki stratejiler önerilmektedir.

Teknik Korumalar

Yönetişim Mekanizmalarını Geliştirin: Zararlı tekliflerin kapsamlı bir inceleme yapılmadan yasalaşmasını önlemek için çoklu imza ve gecikmeli yürütme mekanizmaları uygulayın. Ek olarak, yönetişim süreçlerindeki güvenlik açıklarını belirlemek ve çözmek için akıllı sözleşmeler üzerinde düzenli denetimler ve güvenlik kontrolleri gerçekleştirin.

Oylama Çürüme Mekanizması: Son anda kullanılan oyların ağırlığını azaltan, sonuçlardaki ani değişimleri önleyen ve adil bir yönetişim süreci sağlayan bir mekanizma getirin; veya yeni edinilen belirteçlerin belirli bir süre boyunca oylama için kullanılmasını engelleyen bir zaman kilidi özelliği uygulayın.

Topluluk Üyeleri için Veto Gücü: Belirli topluluk üyelerine önerileri veto etme yetkisi vererek, kötü niyetli önerilere karşı topluluk yanıtlarına yeterli zaman sağlayın.

Topluluk Düzeyinde İyileştirmeler

Yönetişim Şeffaflığını Artırın: Topluluk, manipülasyon fırsatlarını sınırlamak ve üyelerin teklif ayrıntılarını ve etkilerini anlamasına yardımcı olarak bilgi paylaşımının şeffaflığını artırmalı, böylece daha fazla katılımı teşvik etmeli ve topluluk denetimini güçlendirmelidir.

Karar Alma Süreçlerini Düzenlemek: Son dakika oylama manipülasyonunu önlemek için zaman ağırlıklı bir yaklaşım benimseyin. Ayrıca, büyük önerilerin onaylanmadan önce adil ve makul olup olmadığını sağlamak için bir yönetim komitesi veya tahkim kurulu oluşturun ve önemli önerileri gözden geçirin.

Sonuç

Yönetim saldırı olaylarının yaygınlığı, demokratikleşme çabasındaki merkezi olmayan kuruluşların karşılaştığı zorlukları göstermektedir. Öz yönetim ideali topluluk üyelerine eşit haklar verirken, bu açıklık merkezi olmayan yönetim mekanizmalarını kötü niyetli saldırılara karşı savunmasız kılar.

Bu yönetim saldırılarının üstesinden gelmek için, çoklu imza ve oy bozulma mekanizmalarını uygulamak gibi kapsamlı önlemler geliştirmek önemlidir. Ancak, yönetim yapılarını iyileştirmek hızlı bir çözüm değildir; bu, protokol geliştiricileri, topluluk üyeleri ve tüm blok zinciri ekosistemi tarafından sürekli keşif ve yenilik gerektirir, böylece blok zinciri dünyasının uzun vadeli sağlıklı gelişimini destekler.