Blockchain oracle`ları hakkında açıklama: DeFi`nin vazgeçilmez altyapısı
Ekim 2022'de Avraham Eisenberg adlı bir yatırımcı, bir planla Mango Markets'e girdi. İki hesap açtı; birini MNGO sürekli vadeli işlemlerinde büyük pozisyonlar almak için, diğerini ise düşük likiditeli bir havuzda MNGO spot fiyatını şişirmek için kullandı. Mango Markets'e fiyat verisi sağlayan oracle, manipüle edilmiş fiyatı gerçek olarak okudu. Eisenberg, şişirilmiş teminatına karşılık 117 milyon dolar borç aldı. Parayı alıp gitti. Protokol boşaltıldı.
İşte bu, kehanet sorununun özeti. Akıllı bir sözleşme, aldığı veriler kadar iyidir. Ona yanlış bir sayı verirseniz, tamamen yanlış talimatlar yürütür. Kehanet manipülasyonu, yalnızca 2022 yılında DeFi projelerine 400 milyon dolardan fazla maliyete neden oldu. OWASP, fiyat kehaneti manipülasyonunu 2025'te akıllı sözleşmelerdeki ikinci en büyük güvenlik açığı olarak sıralıyor.
Bu makale, blockchain oracle'larının ne olduğunu, DeFi güvenliği için neden bu kadar önemli olduklarını, büyük oracle ağlarının nasıl çalıştığını ve istismara uğrayan protokolleri istismara uğramayanlardan ayıran özellikleri açıklamaktadır.
Blockchain oracle nedir?
Blok zincirleri kapalı sistemlerdir. Sadece zincir üzerindeki verileri görürler, başka hiçbir şeyi göremezler. Ethereum üzerindeki bir akıllı sözleşme, Coinbase'de ETH'nin ne kadara işlem gördüğü hakkında hiçbir fikre sahip değildir. Tokyo'da yağmur yağdığını kontrol edemez. Dünkü S&P 500 kapanış fiyatını hesaplayamaz. Tek başına bir akıllı sözleşme gerçek dünyaya karşı kördür.
Oracle'lar bu sorunu çözüyor. Gerçek dünya verilerini alıyor, blok zinciri için yeniden paketliyor ve akıllı sözleşmelere iletiyor. Fiyatlar, hava durumu, spor sonuçları, faiz oranları, zincir dışında bulunan ancak zincir içi mantığı yönlendirmesi gereken her şey.
Bu basit gibi görünse de, DeFi'deki en önemli altyapı parçasıdır. Aave'de borç aldığınızda, protokolün teminatınızın fiyatını bilmesi gerekir. Bu fiyat bir oracle'dan gelir. GMX'te sürekli vadeli işlemler yaptığınızda, işlem fiyatı bir oracle'dan gelir. Bir stablecoin protokolü bir pozisyonu tasfiye edip etmeyeceğine karar verdiğinde, tetikleyici bir oracle fiyat akışıdır. Chainlink tek başına DeFi protokollerinde toplamda 93 milyar dolardan fazla değeri güvence altına alıyor ve 27 trilyon dolardan fazla kümülatif işlem değerini mümkün kılıyor.
Eğer kehanet yanlışsa, protokol de yanlıştır. Ve uygulama kodundaki bir hatanın aksine, hatalı bir kehanet beslemesi, tüm protokolü tek bir blokta tüketebilir.
Kahin problemi: Bu neden zor?
İşte asıl gerilim burada yatıyor. Merkezi olmayan bir protokol oluşturdunuz. Hiçbir tek kuruluş onu kontrol etmiyor. Ardından fiyat verileri için bir borsanın tek bir API'sini sisteme entegre ettiniz. Tebrikler, bu API'yi tüm sisteminizin tek hata noktası haline getirdiniz.
İşte bu, oracle problemidir. Merkezi bir oracle hacklenirse, protokolünüz her şeyini kaybeder. Bir API çökerse, pozisyonlar tasfiye edilemez. Bir veri sağlayıcısına rüşvet verilirse, rakamlar yalan söyler ve akıllı sözleşme bu yalanlara göre hareket eder.
Merkeziyetsiz oracle ağları bu nedenle var. Chainlink, her biri birden fazla veri kaynağından veri çeken birden fazla bağımsız düğüm çalıştırır. Veriyi zincire göndermeden önce sayı üzerinde anlaşırlar. Bir Chainlink akışını manipüle etmek mi istiyorsunuz? Düğümlerin çoğunu aynı anda tehlikeye atmanız gerekir. Bu, tek bir API'yi taklit etmekten çok daha zordur.
Sorun maliyette yatıyor. Merkeziyetsiz bir oracle ağı çalıştırmak pahalıdır. Zincir üzerinde veri gönderme işlemleri için ödenen gas ücretleri birikiyor. Bazı protokoller ucuza kaçıyor, fiyat kaynağı olarak tek bir DEX havuzunu seçiyor ve üç ay sonra rekt.news'te yer alıyorlar.
Oracle saldırıları aslında nasıl çalışır?
DeFi saldırılarının en yaygın ikinci yöntemi. 2022'de 403 milyon dolar, 2024'te 52 milyon dolar ve 2025'te yaklaşık 70 milyon dolar kayıp yaşandı. Saldırı stratejisi neredeyse hiç değişmiyor.
Saldırgan, hızlı bir kredi alıyor. Milyonlarca kripto para, sıfır teminat, aynı blokta geri ödeniyor. Borç aldığı sermayeyi, bazı protokollerin fiyat verileri için güvendiği bir DEX havuzuna aktarıyor. Fiyat fırlıyor. Oracle bu fırlamayı gerçek olarak algılıyor.
Saldırgan şimdi hedef protokole gidiyor. Şişirilmiş teminat karşılığında borç alıyor. Veya başkalarının pozisyonlarında tasfiye işlemlerini tetikliyor. Veya sahte bir fiyat üzerinden token basıyor. Saldırı nasıl çalışırsa çalışsın, oracle giriş noktasıdır.
Son adım: Hızlı krediyi geri ödeyin. Aradaki farkı alıp gidin. Tek işlem. Tek blok. Kimse fark etmeden bitti.
Mango Markets saldırısı en ünlüsüydü, ancak benzersiz değildi. Inverse Finance, TWAP oracle manipülasyonu nedeniyle 15,6 milyon dolar kaybetti. KiloEx, Nisan 2025'te 7 milyon dolar kaybetti. Yellow Protocol, fiyat verileri için tek bir DEX havuzuna güvendiği için 2,4 milyon dolar kaybetti. Bir güvenlik araştırmacısı bunu açıkça ifade etti: fiyat oracle'ı olarak tek bir likidite havuzu kullanan herhangi bir protokolün "istismara uğrama olasılığı %99,9'dur."
| Oracle saldırısı | Tarih | Kayıp | Neler ters gitti? |
|---|---|---|---|
| Mango Pazarları | Ekim 2022 | 117 milyon dolar | Tek bir oracle kaynağı, ince likidite havuzu manipüle ediliyor. |
| Ters Finans | 2022 | 15,6 milyon dolar | Düşük likiditeli paritede TWAP oracle'ı, önden işlem yapma |
| Parlak Başkent | Ocak 2024 | 4,5 milyon dolar | Compound/Aave kodunda yuvarlamadan yararlanan flaş kredi |
| KiloEx | Nisan 2025 | 7 milyon dolar | Hızlı kredi kehanetinin manipülasyonu |
| Sarı Protokol | Nisan 2025 | 2,4 milyon dolar | Tek bir DEX havuzu fiyat kaynağı olarak kullanılıyor. |
Chainlink, Pyth ve RedStone: kehanet dünyası
2026'da üç kehanet ağı önem kazanacak. Her biri farklı bir yaklaşım benimsiyor.
Chainlink, sektörün önde gelen oyuncusudur. Toplam güvence altına alınan değer bazında %63-70 pazar payına sahiptir. 29 blok zincirinde 1.659'dan fazla fiyat akışı ve 2.100 proje entegrasyonu bulunmaktadır. Düğümlerin, belirli bir zaman çizelgesine göre veya fiyatlar belirli bir eşik değerine ulaştığında zincir üzerindeki verileri proaktif olarak güncellediği, itme tabanlı oracle ağları çalıştırır. Chainlink'in yaklaşımı güvenlik ve merkeziyetsizliğe öncelik verir. Çoklu düğümler, çoklu veri kaynakları, teslimattan önce konsensus. Dezavantajı ise hız ve maliyettir: Verileri sürekli olarak zincire göndermek gas gerektirir.
Chainlink ayrıca, Mart 2026'da tek bir ayda 18 milyar dolar işlem hacmine ulaşan CCIP'yi (Çapraz Zincir Birlikte Çalışabilirlik Protokolü) geliştirdi. Coinbase, 7 milyar dolarlık sarmalanmış varlık için CCIP'yi özel köprü olarak kullanıyor. Lido, Maple Finance ve Stellar da bunu benimsedi. CCIP, Chainlink'i sadece fiyat verisi sağlayıcısından çapraz zincir altyapısına dönüştürüyor.
Pyth Network, Solana ekosisteminden doğdu ve işleri farklı yapıyor. Çekme tabanlı bir sistem kullanıyor: Veriler, bir kullanıcı veya protokol talep edene kadar zincir dışında kalıyor, ardından kullanım anında zincire yükleniyor. Bu daha ucuz ve daha hızlı. Pyth verilerini doğrudan birinci taraf kaynaklardan alıyor; yani borsalar ve işlem firmaları, üçüncü taraf veri toplayıcılarına güvenmek yerine kendi fiyatlarını yayınlıyor. 113 blok zincirinde 2.828 fiyat akışı mevcut. Küresel olarak oracle destekli DEX işlem hacminin %48'i Pyth üzerinden geçiyor. ABD Ticaret Bakanlığı bile federal GSYİH verilerini dağıtmak için Pyth kullanarak bir pilot uygulama gerçekleştirdi.
RedStone, en hızlı büyüyen yeni oyuncu. Toplamda 10 milyar doların üzerinde değer güvence altına alınmış durumda. 110'dan fazla zincir ve 140 DeFi projesi mevcut. RedStone, getiri sağlayan teminatlar konusunda uzmanlaşmıştır: likit staking token'ları, likit restaking token'ları ve BTC LST'leri. Şubat 2024'te gerçekleşen 2 milyar dolarlık bir DeFi likidasyon etkinliği sırasında RedStone, 24 saat içinde 119.000 fiyat güncellemesi gerçekleştirdi ve ETH/USDC güncellemelerini Chainlink'ten %30 daha hızlı iletti. Zincirler genelinde hem itme hem de çekme modelleri sunan tek oracle'dır.
| Oracle | TVS | Fiyat beslemeleri | Zincirler | Model | Uzmanlık |
|---|---|---|---|---|---|
| Zincir bağlantısı | 93-95 milyar dolar | 1.659 | 60+ | (Planlanmış) | Kurumsal benimseme, CCIP zincirler arası |
| Pyth | 5,5-6,1 milyar dolar | 2.828 | 113 | İsteğe bağlı çekme | Birinci taraf veri alışverişi, DEX işlem hacmi lideri |
| Kırmızıtaş | 10 milyar doların üzerinde | Yüzlerce | 110+ | İtme + Çekme | Getiri sağlayan teminat, en hızlı güncellemeler |
| API3 | <%3 pay | Sınırlı | Çoklu | Birinci taraf (Airnode) | Ara düğüm yok |
| Bant Protokolü | Küçük | Sınırlı | Çoklu | İtmek | Kozmos kökenli, yapay zeka+veriye yöneliyor. |
Blockchain oracle türleri
Oracle'lar tek bir şey değildir. Farklı işler, farklı tasarımlar.
Fiyat verileri olmazsa olmazdır. Her borç verme protokolü, her sürekli vadeli borsa, her stablecoin mekanizması fiyat verilerine dayanır. Aave, teminatınızın değerini bilmek zorundadır. GMX, işlem fiyatlarına ihtiyaç duyar. MakerDAO, ne zaman tasfiye edilmesi gerektiğini bilmek zorundadır. Yanlış fiyat, yanlış sonuç. Her zaman.
Çapraz zincir oracle'ları sadece sayılar iletmekle kalmaz, blok zincirleri arasında mesaj da gönderirler. Chainlink CCIP, milyarlarca dolarlık çapraz zincir transferini işler. Küçük bir köprü çoklu imzasına güvenmek yerine, oracle ağı her mesajı kendisi doğrular. Mart 2026'da CCIP aracılığıyla tek bir ayda 18 milyar dolar işlem gerçekleşti.
Hesaplama oracle'ları, zincir dışı olarak sayıları işler ve sonuçları yayınlar. NFT düşüşleri ve oyunlar için doğrulanabilir rastgelelik. Zaman tetikleyicilerine veya zincir içi olaylara dayalı otomatik sözleşme yürütme. Düzinelerce kaynaktan gelen verilerin tek bir temiz sayıya toplanması.
Donanım tabanlı veri kaynakları fiziksel dünyayı birbirine bağlıyor. Tarım sigortası için sıcaklık sensörleri. Nakliye sözleşmeleri için GPS verileri. Gerçek dünyada olup biten her şey için IoT verileri.
İnsan kahinler, manuel yedekleme yöntemidir. Bazı veriler makine tarafından doğrulanamaz: yasal kararlar, öznel olay sonuçları. Tahmin piyasaları, bahisleri çözmek için insan konsensüsünü kullanır.
