Akıllı sözleşmeler, Web3 dünyasının temel taşıdır. 

Genellikle Solidity programlama dili ile yazılan bu akıllı sözleşmeler, dijital varlıkların yönetimi ve takası gibi pek çok önemli süreci merkeziyetsiz, otonom, anonim ve dünyanın her yerinden erişilebilir hale getirmek için kullanılır. Akıllı sözleşmelerin pek çok yaratıcı kullanım alanı da olmakla beraber, genellikle tokenlerin oluşturulması ve yönetilmesi, yani finans aracı olarak kullanılır. Akıllı sözleşmeler bir finans aracı olarak kullanıldığı için, doğal olarak Web3'ün varlık hacmini sırtlarında taşıyorlar. Örneğin, en popüler merkeziyetsiz finans (DeFi) uygulamalarından birisi olan Uniswap'ın akıllı sözleşmelerindeki toplam kilitli değer miktarı an itibariyle 3,023 milyar dolar. Bu durumda akıllı sözleşmelerin oldukça güvenli olmasını isteriz, değil mi? Kötü haber, bazı projelerin takımları geç ders çıkarıyor. Bütün kullanıcılarının varlıkları ve proje takımının bütün itibarı o kod satırlarının sağlamlığına dayanıyorken, projelerin geçmek zorunda oldukları basit bir süreç var: Akıllı sözleşme denetimi.

Akıllı sözleşme denetimi nedir?

Akıllı sözleşmeler ve denetim gibi kelimeleri duyduğunuzda aklınızda hukuksal durumlar canlanıyor olabilir ama aslında akıllı sözleşmeler bir programdır ve akıllı sözleşme denetimleri de beyaz şapkalı hackerların programdaki güvenlik açıklarını bulup raporlamasından ibarettir. 

Web3 projeleri genellikle bütçesine uygun olan herhangi bir akıllı sözleşme güvenliği şirketi veya takımı ile anlaşır ve ileride çıkaracakları protokollerini, yani akıllı sözleşmeler bütününü, inceletirler. Bu incelemenin sonucunda bir rapor hazırlanır ve bu rapordaki güvenlik açıklarını kapatmak üzere akıllı sözleşmeleri güncellerler. Bu, oldukça önemlidir çünkü akıllı sözleşmeler özellikle güncellenebilir bir şekilde tasarlanmadıysa bir kez blok zincirine eklendikten sonra değiştirilemez ve zaten kullanıcılar da güvencelerini bu durumdan alırlar.

Akıllı sözleşmelerin güvenliğini sağlamak için elbette tek yol yoktur, Web2’den aktarılan bir güvenlik modeli olan “Bug Bounty” ve Code4rena’nın getirdiği yenilikçi “Audit Contest” yaklaşımları ile birlikte bir sürü farklı güvenlik modeli bulunuyor. Code4rena’ya geçmeden önce daha geleneksel bir yöntem olan “Bug Bounty Platform” konseptini anlayalım. Bug Bounty platformları, kuruluşların veya projelerin platforma gelip proje dosyalarının belli bir kısmını incelemeye açması, güvenlik açığı seviyelerini standartlaştırılmış formüllere göre hesaplayarak ödüller belirlemesi ve beyaz şapkalı hackerların platforma gelip buldukları açıkları raporlayarak ödeme alması yaklaşımı ile çalışıyor.

Code4rena nedir ve neden farklı?

Code4rena Web3 ekosistemi için bir güvenlik denetimi platformudur. Aynı Bug Bounty platformlarında olduğu gibi projeleri ve güvenlik uzmanlarını buluşturan bir platform, ancak yarışma konseptini kullanıyor.

Code4rena’da projeler bir ödül havuzu belirler ve kısıtlı bir süre boyunca proje dosyaları platformda incelemeye açılır. Yarışmacılar bu süre içerisinde buldukları bütün güvenlik açıklarını ve hatta isterlerse gaz optimizasyonlarını da raporlarlar. Bug Bounty platformlarından farklı olan ve bana kalırsa en can alıcı nokta ise, bir başkasıyla aynı güvenlik açığını raporlayan yarışmacılar dahil herhangi bir güvenlik açığı raporlayan bütün yarışmacılara ödeme yapılması! Bu gerçekten de ilginç bir yaklaşım, “önce raporlayan kazanır” mantığı yerine emek harcayan bütün güvenlik uzmanlarını ödüllendiriyor. Peki ama, ya aynı kişi birden fazla hesap açar ve aynı güvenlik açığını raporlayarak fazladan ödül kazanmaya çalışırsa? Tabii ki böyle bir duruma izin verilmiyor, çünkü ödüller bütün yarışmacılar arasında paylaştırılıyor ve bu yüzden kimsenin bulmadığı bir güvenlik açığını bulan yarışmacı çok daha fazla ödüllendiriliyor. Ödüllendirme, aşağıdaki formül ile hesaplanıyor:

• Orta Seviye Güvenlik Açığı Hissesi: 3 * (0.9 ^ (Bulunuş Sayısı - 1)) / Bulunuş Sayısı
• Yüksek Seviye Güvenlik Açığı Hissesi: 10 * (0.9 ^ (Bulunuş Sayısı - 1)) / Bulunuş Sayısı

Bulunuş Sayısı, aynı spesifik güvenlik açığına ilişkin bulguların sayısını temsil ediyor.

Formülden de anlaşıldığı gibi, bir güvenlik açığını ne kadar çok kişi bulduysa kişiye düşen pay o kadar azalıyor.

Code4rena, genellikle henüz çıkış yapmamış projelerin veya projelerin henüz yayınlanmamış olan yeni sürümlerinin denetimi için kullanılıyor. Denetim sayesinde potansiyel kaybın önüne geçmiş ve daha sağlam bir kod tabanına sahip oluyoruz. Çıkış yapmış olan ve halihazırda kullanımda olan projeler için ise Bug Bounty konseptine dönmemiz gerekiyor, çünkü kullanımda olan projelerin süre kısıtlaması olan bir yarışma yapıp kod tabanlarını güncellemekten daha kapsamlı bir çözüme ihtiyacı var. Bug Bounty platformları süre kısıtlamasını kullanmayarak beyaz şapkalı hackerların herhangi bir zamanda gelip bir güvenlik açığı raporlayabilmesini ve bütün sürecin daha sağlıklı bir şekilde yönetilmesini sağlıyor. 

Elbette, bir güvenlik uzmanı büyük hacimli bir projede güvenlik açığı bulduğunda proje ekibinin panik yapması olasıdır ve böyle durumlarda hacker ile doğrudan iletişime geçmek yerine Bug Bounty platformu aracılığıyla iletişime geçilmesi proje ekibini ve yatırımcıları çok daha güvende hissettirir. Şu an, Web3 ekosistemindeki en büyük Bug Bounty platformu, dünyanın en büyük Bug Bounty ödemelerini yapmış olması ile ünlü olan Immunefi. Çoğu zaman büyük bir Web3 projesinin hacklenmesi durumunda yaşayacağı finansal kayıp, başka herhangi bir yazılımın hacklenmesine kıyasla oldukça fazla olacağı için Immunefi beyaz şapkalı hackerlara yüksek ödeme yapılmasını teşvik ediyor. Finansal kayıp durumunun yanı sıra, blok zincirlerinde anonimliği sağlamanın kolaylığı sebebiyle bir güvenlik açığını sömürmek veya bilinçli bir şekilde raporlamak hackerın vicdanına kaldığı için ödemelerin yüksek olması neredeyse şart. Immunefi, bunun için oldukça faydalı olduğunu düşündüğüm “%10 kültürü”nü getirdi. Bu, kullanıcıların varlıklarını etkileyecek son derece kritik bir hata olduğunda “doğrudan etkilenen fonların %10'unu ödül olarak vermek” anlamına geliyor. Ayrıca şu ana kadar verilmiş en yüksek Bug Bounty ödülü, Wormhole Bridge’in Immunefi platformu üzerinden yalnızca bir güvenlik uzmanına 10 milyon dolar vermesi ile gerçekleşti.

Hangi güvenlik modeli tercih edilmeli?

Hepsi. Yeterli bütçeye sahip bir proje, çıkış yapmadan önce kesinlikle bir güvenlik şirketinden denetim almalı ve Code4rena, Sherlock veya yeni çıkan CodeHawks gibi herhangi bir platformda yarışma yaptırmalı. 

Proje çıkış yaptıktan sonra belirli bir hacim seviyesine geldiğinde ise herhangi bir Bug Bounty platformuna katılmalı. Akıllı sözleşmeler finansın geleceğidir, geleceğin temellerini sağlam bir şekilde inşa etmek zorundayız!