CertiK Denetimi: En Büyük Web3 Güvenlik Denetleme Aracının İç Yüzü
"CertiK tarafından denetlendi" ifadesi, token açılış sayfalarında tıpkı bir çocuk oto koltuğuna yapıştırılan güvenlik etiketi gibi görünür. Bu ifade, "birisi bunu kontrol etti, rahatlayabilirsiniz" anlamına gelir. CertiK, Web3 güvenliğinde en büyük isimdir ve birçok yatırımcı için bu rozet "muhtemelen güvenli"nin kısaltması haline gelmiştir. Sorun şu ki, bu rozeti taşıyan birçok proje milyonlarca dolarını kaybetmiştir. Peki, bir CertiK denetimi size aslında ne kazandırır? Bu yazı, CertiK'in ne olduğunu, denetimlerinin ve Skynet puanının nasıl çalıştığını, nerede yardımcı olduğunu ve rozetin nerede sessizce anlamını yitirdiğini ele almaktadır.
CertiK Kimdir ve Web3 Güvenliğinde Neden Baskındır?
CertiK akıllı sözleşme denetimini icat etmedi. Onu endüstrileştirdi. Şirket, bir avuç kriptograf tarafından yapılan yavaş, el emeğine dayalı bir süreci, bir projenin satın alabileceği, sergileyebileceği ve yatırımcılar kodun güvenli olup olmadığını sorduğunda gösterebileceği bir markaya dönüştürdü.
Yale laboratuvarından 2 milyar dolarlık bir şirkete
2018'de iki bilgisayar bilimleri profesörü bu işe girişti: Columbia Üniversitesi'nden Ronghui Gu ve Yale Üniversitesi'nden Zhong Shao. Fikir akademikti, neredeyse inatla öyleydi. Yazılımın iddia ettiği şeyi yaptığını kanıtlamak için kullanılan matematiksel bir yöntem olan biçimsel doğrulamayı kullanarak, blockchain kodunun sadece "test edilmiş" olmak yerine kanıtlanabilir şekilde doğru olmasını sağlamak. Niş bir fikir. Yine de ciddi miktarda para çekti. TechCrunch'a göre , Nisan 2022'ye kadar CertiK, 2 milyar dolarlık bir değerlemeyle yaklaşık 88 milyon dolar yatırım almıştı; Goldman Sachs, Tiger Global, Sequoia ve SoftBank'ın Vision Fund'ı da yatırım yapmıştı. Dokuz turda toplamda yaklaşık 296 milyon dolar. Derleyiciler hakkında teoremler kanıtlayarak işe başlayan iki akademisyen için hiç de fena değil.
"En büyük denetim şirketi" gerçekte neyi ölçüyor?
CertiK'in manşet rakamları hacimle ilgili. 6.100'den fazla proje denetlendi. Bu güvenlik denetimlerinde 91.000'den fazla güvenlik açığı tespit edildi. Aave, Polygon ve BNB Chain gibi müşteriler de dahil olmak üzere 360 milyar doların üzerinde varlık incelendi. Ölçek gerçek. Ancak sorun da burada, çünkü "en büyük" olmak, bir firmanın kaç denetim raporu gönderdiğini gösterir, tek bir denetimin ne kadar derinlemesine yapıldığını değil. Herkesten daha fazla rapor üreten bir fabrika etkileyici, elbette, ancak hacim ve titizlik aynı şey değil ve aralarındaki fark, eleştirilerin çoğunun dayandığı nokta. İşte bu şikayetin somut versiyonu. CertiK o kadar çok projeyi inceliyor ki, adı hem önemsiz bir meme token'ında hem de ciddi bir protokolde yer alıyor ve iki günlük bir inceleme, aylarca süren bir incelemeyle aynı rozeti kazandırıyor. Alıcılar nadiren hangisinin hangisi olduğunu görüyor. Bu eşitleme, rozetle ilgili asıl sorun.
CertiK Denetimi Adım Adım Nasıl İşliyor?
CertiK denetimi tek bir şey değildir. Üst üste yığılmış iki katmandan oluşur ve aradaki farkı anlamak, nihai raporun neleri vaat edebileceği ve neleri vaat edemeyeceği konusunda size çok şey anlatır.
Resmi doğrulama ile manuel inceleme karşılaştırması
İlk katman, biçimsel doğrulamadır. CertiK, akıllı bir sözleşmeyi çalıştırıp neler olduğunu izlemek yerine, kodun matematiksel bir modelini oluşturur ve girdiden bağımsız olarak belirli özelliklerin her zaman geçerli olup olmadığını kanıtlar. DeepSEA derleyicisi bunu desteklemek için mevcuttur. Biçimsel doğrulama, "bu bakiye hiç eksiye düşebilir mi?" gibi dar kapsamlı sorular için güçlüdür, ancak yalnızca birinin belirtmeyi düşündüğü özellikleri kontrol eder.
İkinci aşama ise manuel incelemedir: İnsan mühendisler kodu satır satır okuyarak mantık hatalarını, yanlış varsayımları ve modelin kimsenin aramasını söylemediği için işaretlemeyeceği türden ince hataları ararlar. Gerçek bulguların çoğu buradan gelir. Kodun miktarına ve karmaşıklığına bağlı olarak, tüm süreç küçük bir şey için yaklaşık 48 saatten büyük bir protokol için birkaç haftaya kadar sürebilir.
Raporu okumak: "çözüldü" ile "onaylandı" arasındaki fark
Teslim edilecek ürün bir rapordur. Bu rapor, her bir güvenlik açığını ciddiyetine göre (kritik, büyük, küçük ve bilgilendirici) işaretler ve projenin bu konuda ne yaptığını belirtir. Son sütun, insanların sandığından daha önemlidir. "Çözüldü" olarak işaretlenmiş bir bulgu, ekibin sorunu düzelttiği ve CertiK'in yeniden kontrol ettiği anlamına gelir. "Onaylandı" olarak işaretlenmiş bir bulgu ise ekibin bunu okuduğu, omuz silktiği ve yine de yayınladığı anlamına gelir. İki proje de aynı rozeti kullanabilirken, biri her şeyi düzeltmiş, diğeri ise kritik uyarılarını görmezden gelmiş olabilir. Rozet onları birbirinden ayırmaz. Bunu rapor yapar. Bu nedenle rapordaki tarih de önemlidir. Kod yayınlanır, sonra değişir; bir yıl ve on güncelleme öncesine ait bir denetim, incelenen biçimde artık zincir üzerinde mevcut olmayabilecek bir projeyi tanımlar.
| Sahne | CertiK ne yapar? | Yakalar | Kör noktalar |
|---|---|---|---|
| Resmi doğrulama | Kodun belirtilen özelliklerini matematiksel olarak kanıtlar. | Tanımlanmış kurallardaki matematik ve mantık hataları | Belirtilen özelliklerin dışında kalan her şey |
| Manuel inceleme | Mühendisler kodu elle okuyorlar. | Mantık hataları, yanlış varsayımlar, bilinen saldırı kalıpları | Zincir dışı sistemler, denetim sonrası kod değişiklikleri |
| Rapor ve yeniden denetim | Bulguları ciddiyetine göre listeler, yapılan düzeltmeleri tekrar kontrol eder. | Sorunların ele alınıp alınmadığı | Ekibin düzeltilmiş sürümü gerçekten kullanıma sunup sunmadığı |
Skynet ve CertiK Web3 Güvenlik Puanı
Denetimler tek seferlik anlık görüntülerdir. Skynet ise CertiK'in sürekli bir şey satma girişimidir: Projeler piyasaya sürüldükten sonra onları izleyen ve her birine bir Güvenlik Puanı atayan gerçek zamanlı bir kontrol paneli. Şirket, zincir üzerinde 20.000'den fazla projeyi izlediğini söylüyor.
Bu puanlama sistemi birkaç girdiyi bir araya getiriyor. Bir projenin denetlenip denetlenmediğine, ekibinin CertiK'in KYC kontrolünden (altın, gümüş ve bronz kademelerde) geçip geçmediğine ve sözleşmelerin nasıl davrandığına bakıyor. Skynet, çalışma zamanı izleme yoluyla zincir üzerinde sözleşme davranışını analiz ediyor ve anormallikleri ortaya çıktıkça işaretliyor. Skynet ayrıca, dolandırıcılık ve istismar girişimleri için zincir üzerinde izleme uyarıları ve projeleri birbirine karşı sıralayan liderlik tabloları da çalıştırıyor. İlk bakışta bir sinyal olarak, Skynet puanı gerçekten kullanışlıdır. Tam bir rapor okumaktan daha hızlıdır ve bariz kırmızı bayrakları işaretler. Ancak bu aynı zamanda CertiK'in sattığı, kısmen CertiK'in sağladığı girdilere dayalı bir üründür ve yüksek bir puan hiçbir zaman bir projenin güvenli olduğunun garantisi olmamıştır. Bunu bir veri noktası olarak değerlendirin, bir karar olarak değil. Geçmiş performans bunu doğruluyor. Projeler, istismar edildikleri veya sessizce terk edildikleri ana kadar saygın Skynet puanlarına sahip oldular, çünkü büyük ölçüde geçmiş davranışlara dayalı bir puan, kötü niyetli bir değişikliğin geldiğini göremez. Bu, bir projenin henüz başarısız olmadığını gösterir. Ama asla başarısız olmayacağını söyleyemez.
Denetimlerin Ötesinde: CertiK Ekosisteminin Geri Kalanı
Denetim manşette yer alıyor, ancak CertiK bunun etrafında daha geniş bir hizmet yelpazesi sunuyor. Sızma testleri, cüzdanlara, borsalara ve uygulamalara simüle edilmiş saldırılar düzenliyor. Sıfır platform ücretiyle yürütülen bir hata ödül programı, suçlular bulmadan önce güvenlik açıklarını bulan dışarıdan gelen bilgisayar korsanlarına ödeme yapıyor. Ayrıca, anonim kurucuların arkasına gerçek bir isim koymak için KYC, MiCA ve DORA kapsamında düzenlemeye tabi firmaların ihtiyaç duyduğu uyumluluk ve kara para aklama karşıtı çalışmalar için SkyInsights ve bir şeyler ters gittiğinde çalınan fonları zincirler arasında takip etmek için SkyTrace bulunuyor. Bunların hiçbiri denetimin yerini almıyor. Denetimin etrafını sarıyor; bu da tek seferlik bir hizmetin, merkeziyetsiz bir projenin tüm yaşam döngüsünü kapsayan bir aboneliğe dönüşmesini sağlıyor.
Denetlendi Sonra Saldırıya Uğradı: Saldırı Vektörleri Nasıl Gözden Kaçtı?
İşte bu, yüzeysel açıklamaların atladığı kısım. Bir denetim, belirli bir anda belirli bir kodun anlık görüntüsüdür. Bu bir garanti değildir ve bunu bir garanti gibi ele almak, kağıt üzerinde her şey "doğru" olan projelerde insanların para kaybetmesine yol açar.
Denetimin kapsamadığı konular
Akıllı sözleşme denetimi, sözleşmeyi kontrol eder. Kurucuların havuzu boşaltmalarına izin veren bir yönetici anahtarına sahip olup olmadıklarını kontrol etmez. Web sitesini, sunucuları veya bunların arkasındaki özel anahtarları kontrol etmez. Denetim bittikten sonra ekibin dağıttığı ve incelenen sürümden farklı olabilen kod sürümünü kontrol etmez. Ve sadece parayla kaçmaya karar veren bir ekibi durduramaz. Bir projeyi boşaltan saldırı vektörlerinin çoğu, denetlenen sözleşmedeki hatalar değil, sözleşmenin etrafındaki boşluklardır.
Merlin DEX vakası: işaretlendi ancak istismar edildi
Merlin DEX bunun en temiz örneğidir. CertiK tarafından denetlendi ve denetim aslında sorunu ortaya koydu: projenin sözleşmeleri tehlikeli bir şekilde merkezileştirilmişti ve kötü niyetli bir içeriden kişinin kötüye kullanabileceği ayrıcalıklı erişime sahipti. Nisan 2023'te tam olarak bu yöntem kullanılarak yaklaşık 1,82 milyon dolar çalındı. Denetim yanlış değildi; riski adlandırmıştı. Ancak uyarı "çözüldü" sütununda değil, "onaylandı" sütununda yer aldı ve istismar, raporun zaten işaret ettiği kapıdan doğrudan geçti. Kusuru yakalamak kolaydı. Bunun üzerinde harekete geçmek müşterinin işiydi ve Merlin ekibi bunu asla yapmadı.
Daha geniş bir perspektiften bakıldığında, bu eğilim tüm sektör için rahatsız edici. CertiK'in kendi Hack3d raporları, kayıpların düşmek yerine arttığını gösteriyor. Firma , 2024 yılında 760 olayda yaklaşık 2,36 milyar dolar , 2025 yılında ise 630 olayda yaklaşık 3,35 milyar dolar çalındığını tespit etti; bu rakam, 1,45 milyar dolarlık tek bir Bybit ihlaliyle şişirilmiş durumda. Chainalysis'ten alınan bağımsız veriler, 2025 yılındaki hırsızlığı 3,4 milyar dolara yakın olarak gösteriyor; bunun yaklaşık 2,02 milyar doları Kuzey Kore bağlantılı gruplarla ilişkili. Bu operatörler, giderek sözleşmenin kendisinden ziyade, sözleşmenin etrafındaki insanları ve altyapıyı hedef alıyorlar; bu da denetimin kapsamadığı bir alan. Daha fazla denetim, daha az suç anlamına gelmedi.
| Yıl | Bildirilen kayıplar | Olaylar | En büyük tekli hit |
|---|---|---|---|
| 2024 | 2,36 milyar dolar | 760 | — |
| 2025 | 3,35 milyar dolar | 630 | Bybit, 1,45 milyar dolar. |
Kraken Olayı ve CertiK'in Güven Sorunu
Güven satan bir şirket için kendi davranışları da ürünün bir parçasıdır. Son iki olay bunu garip bir hale getirdi.
Haziran 2024'te CertiK araştırmacıları, Kraken borsasında sıfır gün açığı buldu ve bunu sadece bildirmek yerine, Kraken'in sistemlerinden yaklaşık 3 milyon dolar çekmek için kullandı. CertiK bunu, hatanın ciddiyetini kanıtlamak olarak gösterdi. Kraken bunu şantaj olarak nitelendirdi ve firmanın başlangıçta parayı iade etmeyi reddettiğini, ancak baskı altında kaldıktan sonra iade ettiğini söyledi. Para sonunda geri gönderildi, ancak olay kötü bir izlenim bıraktı: bir güvenlik firmasının, bir noktayı kanıtlamak için büyük ölçekte bir müşteriyi istismar etmesi. Ardından 2025'in başlarında CertiK, daha sonra zorla çalıştırma dolandırıcılığıyla bağlantılı olduğu ortaya çıkan Kamboçya merkezli Huione operasyonuyla ilgili çalışmaları nedeniyle özür diledi. Bunların hiçbiri CertiK'in denetimlerinin değersiz olduğu anlamına gelmiyor. Ancak bu, piyasadan sözüne güvenmesini isteyen bir firmanın şimdi bu sözün bir kısmını yeniden inşa etmesi gerektiği ve bunu yaklaşık 2 milyar dolarlık değerlemeyle halka arz için hazırlanırken yaptığı anlamına geliyor.
CertiK ve Diğer Web3 Güvenlik Firmaları Karşılaştırması
CertiK, blockchain güvenliği alanında en çok bilinen isim olsa da tek isim değil ve birçok proje için ilk akla gelen seçenek değil. Denetim piyasası kabaca büyük ölçekli firmalar ve butik firmalar olarak ikiye ayrılıyor. Butik firmalar daha az müşteriyle çalışır ve daha derinlemesine incelemeler yapar; ayrıca çoğu, yüksek hacimli firmaların uygulayabileceği kapasitenin ötesinde kendi güvenlik standartlarını belirler. Ciddi miktarda para işleyen protokoller, tam da bu nedenle, bu firmalardan birinden ikinci bir görüş almak için ödeme yaparlar. Ölçek ve derinlik aynı şey değildir ve doğru seçim, aşamanıza ve bütçenize bağlıdır. Fiyatlandırma da bu aralığı yansıtır: küçük bir token denetimi birkaç bin dolara mal olabilirken, karmaşık bir protokolün tam incelemesi altı haneli rakamlara ulaşabilir.
| Firma | Odak | Şunlarla tanınır: | Model |
|---|---|---|---|
| CertiK | Geniş Web3 güvenliği | Hacim, Skynet, marka bilinirliği | Ölçek |
| Parçacıkların İzleri | Yüksek güvenlikli | Derinlemesine manuel inceleme, araştırma | Butik |
| OpenZeppelin | Akıllı sözleşme güvenliği | Yaygın olarak kullanılan sözleşme kütüphaneleri | Butik |
| Halborn | Blok zinciri ve altyapı güvenliği | Sızma testi, gelişmiş güvenlik açıkları | Orta boy |
| Hacken | Web3 denetimleri ve izleme | Maliyet etkin denetimler | Orta boy |
CertiK Denetimi Rozetini Nasıl Okuyabilirsiniz?
Bir projede "CertiK tarafından denetlendi" ibaresini görüyorsunuz. Buna güvenmeden önce, gerçek raporu açın ve beş şeyi kontrol edin. Birincisi, kapsam: Hangi sözleşmeler incelendi ve paranızı tutan kısım bunlardan biri mi? İkincisi, tarih ve commit hash'ini kontrol edin ve bunları gerçekten çalışan kodla karşılaştırın, çünkü bunlar genellikle farklılık gösterir. Üçüncüsü, bulgular: Kaç tanesi kritikti ve çözüldü mü yoksa sadece onaylandı mı? Dördüncüsü, denetlenen sürümün dağıtılan sürüm olup olmadığı. Beşincisi, yalnızca Skynet puanına güvenmeyin; bu bir özet, belgenin kendisi değil.
Kısa bir not düşmek gerekirse, insanlar bunları karıştırıyor. CertiK şirketi özel bir şirkettir ve hissesi yoktur. CTK, CertiK'in ilk çalışmalarına bağlı ayrı bir proof-of-stake ağı olan Shentu zincirinin tokenıdır. CTK satın almak, denetim işinde hisse satın almak anlamına gelmez. Eğer "CertiK hissesi" arıyorsanız, henüz böyle bir hissesi yok.
CertiK Denetiminin Gerçek Değeri Nedir?
Peki, CertiK denetiminin bir değeri var mı? Evet, belirli sınırlar dahilinde. Standartları yükseltiyor. Tembel kodları eliyor, gerçek riskleri kağıda döküyor ve ciddi bir ekibe üzerinde çalışması gereken bir kontrol listesi sunuyor. Ancak yapamayacağı şey, kişilerin güvenilirliğini garanti etmek. Dağıtılan kodun incelenenlerle eşleştiğini veya işaretlenen tek bir riskin gerçekten kapatıldığını garanti edemez. Rozeti, titizliğinizin başlangıcı olarak görün, bitiş çizgisi olarak değil. Bu yüzden bir dahaki sefere "CertiK tarafından denetlendi" yazısını gördüğünüzde, neredeyse hiç kimsenin yapmadığı sıkıcı şeyi yapın: raporu açın ve neyin düzeltildiğini gösteren sütunu okuyun. Peki ya proje size raporu göstermiyorsa? Bu isteksizlik cevaptır. Kontrol edemediğiniz bir rozet sadece bir logodur.
