Merkeziyetsiz finans (DeFi) kredi protokolü Edel, tokenlaştırılmış hisse senetlerinin DeFi teminatı olmaya çalıştığı katmanda gerçekleşen ve 403.000 dolarlık kayıpla sonuçlanan bir saldırı yaşandığını açıkladı.
Edel, hiçbir mevduat sahibinin zarar etmeyeceğini, oluşan kötü borcun ekip tarafından üstlenileceğini ve etkilenen bakiyelerin bire bir olarak geri yükleneceğini belirtti. Ayrıca, protokolün oracle mimarisinin yeniden inşa edilerek ikinci versiyonunun yayınlanacağı ifade edildi.
Saldırı, Edel’in tokenlaştırılmış Google hissesi olan GOOGLx’in sarılmış versiyonu wGOOGLx ile GOOGLx arasındaki döviz kurunun manipüle edilmesiyle gerçekleşti. Edel, bu manipülasyonun wGOOGLx’in teminat değerini gerçek seviyesinin yaklaşık 78 katına çıkardığını bildirdi.
SlowMist, saldırının temel nedeninin Edel’in fiyat kaynağında olduğunu ve burada latestAnswer() fonksiyonunun ERC-4626 tipi bir kasanın convertToAssets() oranını döndürdüğünü tespit etti. Bu dönüşüm oranı, saldırgan yeterli miktarda temel varlığı kontrol ettiğinde manipüle edilebiliyor ve Edel’in fiyat akışı bu oranı doğrudan okuyor.
CertiK, aynı açığı kredi tarafında değerlendirdi: Saldırgan, wGOOGLx’in teminat fiyatını manipüle ederek GOOGLx bakiyesini şişirdi ve bu şişirilmiş değer üzerinden borç aldı.
GoPlus, saldırganın bir flash loan kullanarak defalarca teminat yatırıp borçlandığını ve wGOOGLx/GOOGLx dönüşüm oranını bozduğunu belirtti. Şişirilmiş teminat, 384.215 USDC ve SPYx, QQQx, MSTRx, NVDAx, TSLAx gibi sarılmış pozisyonlar dahil olmak üzere gerçek varlıkların borçlanmasını sağladı.
Siber güvenlik şirketleri zararın boyutuna ilişkin farklı tahminler paylaştı. Cyvers, kaybı yaklaşık 353.000 dolar olarak hesaplarken, GoPlus 403.000 dolar kayıp ve yaklaşık 305.000 dolar saldırgan kârı bildirdi. CertiK ise çekilen fonları yaklaşık 204.000 dolar olarak açıkladı.
Bu fark, kötü borç, brüt kayıp ve net saldırgan kârı gibi farklı ölçümlerin kullanılmasından kaynaklanıyor.
Kritik hata, sarılmış token ile temel varlığı arasındaki döviz kurunda ortaya çıktı. Edel’in kredi piyasası, bu ilişkiyi sabitmiş gibi fiyatladı. Alphabet’in hisse fiyatı ise saldırının nedeni olmadı.
Piyasa Verileri
RWA.xyz verilerine göre, tokenlaştırılmış hisselerin zincir üstü değeri 1,7 milyar dolara ulaştı ve son 30 günde %2,17 artış gösterdi. Aylık transfer hacmi 8,92 milyar dolar seviyesinde ve toplam yatırımcı sayısı 396.000’in üzerinde.
xStocks, 50’den fazla entegre platformda 100’den fazla hisse ve ETF sunuyor ve toplam işlem hacmi 25 milyar doları aşıyor. Platform, tamamen teminatlı olduğunu ve herhangi bir DeFi protokolüne izinsiz entegre olabileceğini belirtiyor.
xStocks’un arkasındaki ihraççı Backed, tokenları özellikle DeFi kullanımı için pazarlıyor; örneğin, tokenlaştırılmış Apple hisselerini teminat göstererek borçlanmak veya satmadan kredi almak mümkün.
Kamino, tokenlaştırılmış hisse senetlerini teminat olarak kabul eden ilk büyük kredi protokolü olduğunu açıkladı. Kullanıcılar, SPYx, QQQx, GOOGLx, AAPLx, NVDAx, TSLAx, MSTRx ve HOODx gibi tokenları yatırarak stablecoin borçlanabiliyor veya getiri elde edebiliyor.
Robinhood, Haziran 2025’te AB müşterileri için hisse ve ETF tokenlarını piyasaya sürdü ve ardından Robinhood Chain’in halka açık testnet’ini başlattı. Bu ağ, Arbitrum üzerinde inşa edilen bir Ethereum Katman 2 çözümü olarak, tokenlaştırılmış gerçek dünya varlıkları (hisse, ETF ve özel varlıklar dahil) etrafında tasarlandı.
Tüm bu gelişmelerin ortak noktası, tokenlaştırılmış hisselerin diğer kripto varlıklar gibi hareket edebilmesi ve entegre olabilmesi. Edel vakası ise, bu varlıklar kripto gibi hareket etmeye başladığında, kripto gibi kırılabileceklerini de gösteriyor.
Piyasa Katmanları ve Edel’in Ortaya Çıkardığı Riskler
Erişim: Kullanıcılar, zincir üstünde hisse ve ETF’lere erişim sağlıyor. Robinhood’un AB müşterileri için sunduğu hisse ve ETF tokenları ile xStocks’un geniş ürün yelpazesi buna örnek. Ancak, yasal ve ihraççı teminatı gerekli olsa da tek başına yeterli değil.
Alım-Satım: Tokenlaştırılmış hisseler, farklı platformlar, zincirler ve DeFi protokolleri arasında transfer edilebiliyor. xStocks’un 50’den fazla platformda 25 milyar doları aşan işlem hacmi bu entegrasyonun büyüklüğünü gösteriyor. Ancak, daha fazla entegrasyon, fiyatlama ve likidite bağımlılıklarını artırıyor.
Teminat: Kullanıcılar, tokenlaştırılmış hisse senetlerini teminat göstererek borçlanabiliyor. Kamino’nun kabul ettiği çeşitli sarılmış hisse tokenları buna örnek. Ancak, sarılmış versiyonlar, kasa döviz kurları ve oracle yolları saldırı yüzeyi haline gelebiliyor.
Türev Ürünler: Tokenlaştırılmış hisseler, yapılandırılmış ürünler ve kaldıraçlı işlemler için temel varlık haline geliyor. Bu aşamada, bir wrapper veya oracle hatası, tek bir kredi piyasasının ötesine yayılabilir.
Teminat ve Güvenlik Arasındaki Uçurum
Bir kredi piyasası, tokenlaştırılmış hisse senedinin kendisi, üzerine inşa edilen sarılmış versiyon ve kasa dönüşüm oranı gibi birden fazla katmanı fiyatlamak zorunda. Ayrıca, oracle yolunu, kredi piyasasının kendi borçlanma limitlerini ve teminatın stres anında satılıp satılamayacağını da dikkate alıyor. Edel’deki açık, neredeyse tamamen wrapper ve oracle katmanlarında ortaya çıktı.
Tokenlaştırılmış bir hisseyi teminat olarak kullanmak, hisse senedinin fiyatlamasına ek olarak, zincir üstünde oluşturulan her temsilin de doğru şekilde fiyatlanmasını gerektiriyor. Özellikle wrapper’ın döviz kuru stres altında nasıl davrandığı kritik öneme sahip. Bu risk, tokenlaştırılmış hisse etrafında inşa edilen teminat entegrasyonundan kaynaklanıyor.
Flash loan’lar, teminat manipülasyonu ve ERC-4626 döviz kuru saldırıları daha önce de DeFi açıklarında görüldü. Edel vakasının yeniliği ise, bu tekniklerin hedef aldığı varlık sınıfında yatıyor. Bu olay, kayıtlara geçen ilk net tokenlaştırılmış hisse teminatı açıklarından biri olarak öne çıkıyor.
Olası Senaryolar
Boğa senaryosunda, protokoller önümüzdeki yıl wrapper riskini izole etmeye odaklanıyor. Bu, kredi piyasalarında sarılmış token teminatına üst sınır getirilmesi, ihraççı fiyatları ile wrapper döviz kurlarının ayrıştırılması ve tek bir flash loan ile değiştirilemeyen oracle yollarının inşa edilmesi anlamına geliyor.
Bu durumda, tokenlaştırılmış hisseler Apple, Nvidia, Tesla ve Google gibi likit isimler için güvenilir teminat haline geliyor. Edel ise, kategori ölçeklenmeden önce daha iyi tasarımları zorunlu kılan erken bir başarısızlık olarak hatırlanıyor.
Ayı senaryosunda ise, listelemeler risk kontrollerinin önüne geçiyor. Daha fazla platform, oracle tasarımı ve wrapper izolasyonu gelişmeden tokenlaştırılmış hisse ve sarılmış versiyonları teminat olarak kabul ediyor.
Her bir ticker etrafında oluşturulan sarılmış token, köprü ve kasa sayısı, denetim kapasitesinin çok ötesinde hızla artıyor. Bu süreçte, döviz kuru manipülasyonu ve düşük likiditeye bağlı yüz binlerce dolarlık yeni açıklar ortaya çıkmaya devam ediyor. Tokenlaştırılmış hisseler, DeFi protokollerinin teminat olarak kullanımı konusunda güvenlik tartışmalarının odağı haline geliyor.
Tokenlaştırılmış hisselerin ilk aşaması erişimdi: Kullanıcıların Apple veya Google gibi isimlere tokenlaştırılmış şekilde maruz kalmasını sağlamak. İkinci aşama ise, bu varlıkların zincirler arasında 7/24 transfer edilebilmesiydi.
Üçüncü aşamanın başında ortaya çıkan Edel, tokenlaştırılmış bir hisseyi elde tutmanın yanında, onu teminat olarak kullanarak borçlanma imkânı sunan dönemi temsil ediyor.
İlk iki aşamada, en fazla ticker’ı listeleyen veya en çok zincire ulaşan platformlar öne çıktı. Yeni dönemde ise, stres altında sarılmış bir hisseyi her seferinde doğru fiyatlayabilen protokoller öne çıkacak.
Bu içerik hazırlanırken faydalanılan kaynaklar: cryptorank.io