Aave protokolünün wETH havuzu, KelpDAO’nun zincirler arası köprüsünde yaşanan büyük bir saldırının ardından yaklaşık 177 milyon ila 200 milyon dolar arasında geri alınamaz kötü borçla karşı karşıya. Saldırı, bir saldırganın KelpDAO’nun LayerZero altyapısındaki bir açığı manipüle ederek sistemi yaklaşık 116.500 rsETH token’ı serbest bırakmaya ikna etmesiyle başladı. Gerçek bir teminatı olmayan bu token’lar, Aave’nin V3 ve V4 piyasalarında teminat olarak kullanılarak yaklaşık 200 milyon dolarlık wETH ve ilişkili varlıkların borç alınmasında kullanıldı. Aave, rsETH piyasalarını hızla dondursa da oluşan kötü borç, protokol ve mevduat sahipleri için önemli bir risk oluşturmaya devam ediyor.
Saldırı, KelpDAO’nun zincirler arası mesajları doğrulama yöntemindeki zayıflıkların istismar edilmesiyle başladı. Saldırganlar, teminatsız token’ların serbest bırakılması için sahte bir transfer mesajı oluşturdu ve bu token’ları Aave’ye yatırarak gerçek varlıkları borç aldı. Aave, rsETH piyasalarını dondurup kredi-teminat oranlarını sıfıra çekerek karşılık verdi. Ancak, havuza fon sağlayan wETH tedarikçileri için acil risk devam ediyor. Aave, çekim işlemlerini kısıtlamadı fakat önde gelen yönetişim delegeleri, potansiyel kayıpları azaltmak için mevduat sahiplerine fonlarını derhal çekmeleri yönünde çağrıda bulundu.
Aave üzerindeki finansal etkinin büyüklüğü, KelpDAO’nun saldırıdan kaynaklanan kayıpları nasıl dağıtacağına bağlı olarak değişiyor. Sektör analizlerine göre, kayıplar tüm rsETH sahiplerine yayılırsa token yaklaşık %15 oranında değer kaybedebilir ve yaklaşık 124 milyon dolarlık kötü borç oluşabilir. Ancak kayıplar yalnızca Arbitrum ve Mantle gibi Katman 2 ağlarıyla sınırlanırsa kötü borç yaklaşık 230 milyon dolara çıkabilir. Bu belirsizlik, kullanıcıların merkeziyetsiz finans altyapısının güvenliğini yeniden değerlendirmesiyle birlikte Aave’den yaklaşık 6 milyar dolarlık toplam kilitli değerin (TVL) çekilmesine yol açtı.
DeFi United Kayıp Fonları Nasıl Geri Kazanıyor?
Aave ve Compound, KelpDAO saldırısında kaybedilen fonların geri kazanılması için DeFi United adlı koordineli bir koalisyon oluşturdu. Koalisyon, rsETH token’larının teminatını yeniden sağlamak ve saldırıdan kalan kötü borcu ortadan kaldırmak için teknik bir uygulama planı yayımladı. Kurtarma stratejisi, taahhüt edilen ETH’nin kontrollü dilimler halinde rsETH’ye dönüştürülmesini ve ardından saldırganın pozisyonlarının geçici olarak ayarlanmış oracle fiyatlarıyla tasfiye edilmesini içeriyor. Bu girişim, merkeziyetsiz finans sektöründe bugüne kadar görülen en büyük koordineli kurtarma operasyonlarından biri olarak öne çıkıyor.
Kurtarma çabası, sektördeki önemli oyunculardan toplam 303 milyon dolarlık sermaye ve kredi taahhüdüyle destek buldu. Consensys ve Joseph Lubin, 30.000 ETH’ye kadar katkı sözü verdi. Aave Labs CEO’su Stani Kulechov ise şahsen 5.000 ETH taahhüt etti. Lido, fona 2.500 stETH’ye kadar kaynak ayırmayı önerdi. Amaç, bu varlıklarla rSETH’in teminatını yeniden sağlamak ve saldırıdan etkilenen kullanıcıları destekleyerek protokolün teminat yapısını istikrara kavuşturmak.
Aave Labs ayrıca, bu çok protokollü kurtarma planını finanse etmek için Arbitrum Güvenlik Konseyi’nden dondurulan 73,5 milyon dolarlık ETH’nin serbest bırakılmasını talep ediyor. Bu fonlar, KelpDAO olayının ardından kilitlendi ve kurtarma sürecine yönlendirilmesi planlanıyor. Arbitrum Güvenlik Konseyi, saldırganın adreslerine kadar izlenen 71,5 milyon doları da dondurdu. Teknik plan, Aave’nin Ethereum ve Arbitrum piyasalarındaki etkilenen pozisyonlardan yaklaşık 13.000 ETH, Compound’dan ise 16.776 ETH’nin geri kazanılmasını hedefliyor.
Sistemik Riskler ve Gelecek Güncellemeler
KelpDAO saldırısı, merkeziyetsiz finansın tek noktadan doğrulama yapan köprüler ve karmaşık teminat yapıları üzerindeki kritik zafiyetlerini ortaya çıkardı. Saldırı, LayerZero’nun doğrulama katmanındaki 1’e 1 merkeziyetsiz doğrulayıcı ağı yapısını hedef aldı. Bu başarısızlık, Aave’de anında bir varlık-yükümlülük uyumsuzluğu yaratarak mevduat sahiplerinin panikle fonlarını çektiği bir banka koşusu dinamiği oluşturdu. Kullanıcılar teminatların değersiz olduğunu fark edince, Aave’deki aktif krediler bir günde %31 oranında düştü.
Olay, düşük getiri ortamında kaldıraçlı döngü stratejilerinin risklerini de gözler önüne serdi. Merkeziyetsiz finans genelinde toplam kilitli değerdeki 13 milyar dolarlık düşüş, ağırlıklı olarak kaldıraçlı pozisyonların çözülmesiyle riskin yeniden fiyatlanmasından kaynaklandı. Kullanıcılar, likit yeniden stake edilen token’ları yatırıp wETH borç aldı ve bu işlemi tekrarlayarak TVL’yi şişirdi. rsETH’in teminatı kaybolunca, bu kaldıraçlı yapı hızla çözüldü. Aave, bu pozisyonların tasfiye edilmesiyle 48 saat içinde 8,45 milyar dolarlık çıkış yaşadı.
Ekosistem, saldırının tekrarlanmasını önlemek için yapısal güncellemeler uygulamaya başladı. Aave V4, tek bir oracle’a bağımlılığı ortadan kaldırarak bağımsız veri akışları gerektiren çoklu kaynaklı teminat doğrulamasını devreye alacak. Ayrıca, Ethereum Ekonomik Bölgesi tüm köprülerde çoklu merkeziyetsiz doğrulayıcı ağı (DVN) zorunluluğu getirdi ve tek hata noktasını ortadan kaldırdı. Protokoller, zincirler arası değişmezlik izleme sistemlerini de benimseyerek, hedef zincirde serbest bırakılan token’ların kaynak zincirde yakılanlarla eşleşip eşleşmediğini gerçek zamanlı tespit etmeyi amaçlıyor.
Yönetişim tartışmaları, risk yönetimi eksiklikleri ve manuel güvenlik müdahalelerinin yetersizliği etrafında yoğunlaştı. Eleştirmenler, rsETH’in yeterince muhafazakâr parametrelerle listelenmemesinin hata olduğunu savunuyor. Kötü borçların karşılanmasında Umbrella modülüne güvenmenin, sık kullanılması halinde mevduat sahiplerinin güvenini sarsabileceği endişesi öne çıkıyor. Önerilen çözümler arasında, saldırı anında zincir üstü otonom ajanların devreye alınması, çekim işlemlerine bekleme süresi getirilmesi ve kademeli borçlanma gecikmeleri yer alıyor.
Tartışmalar, manuel koruyucu müdahaleye güvenmekten, saldırılara karşı kod düzeyinde otomatik savunmalar gerektiren bir bakış açısına geçişi yansıtıyor. Protokol Koruyucusu, önlem olarak Core, Prime, Arbitrum, Base, Mantle ve Linea üzerinde WETH’i de dondurdu. Olay, borç verme protokollerinin dış köprü zafiyetlerine dolaylı maruziyetini ve risk yönetimi çerçeveleri üzerindeki baskıyı gözler önüne serdi. Tüm bu şoka rağmen, merkeziyetsiz finans ekosistemi direnç gösterdi ve sermaye, daha iyi likidite sunan SparkLend gibi diğer protokollere yöneldi.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com
