VIP Başvuru
VIP Sorgu
Merkeziyetsiz finans (DeFi) dünyası, Kelp DAO protokolünde meydana gelen bir köprü saldırısıyla yeniden sarsıldı. Likit restaking token'ı rsETH'in transfer süreçlerinde kullanılan köprü mekanizmasındaki bir zafiyet, Aave protokolünü doğrudan etkileyerek 230 milyon dolara varan bir potansiyel kayıp riskiyle karşı karşıya bıraktı. Aave Labs ve LlamaRisk tarafından yayımlanan olay raporu, saldırının teknik detaylarını ve protokol üzerindeki olası finansal etkileri gözler önüne seriyor.
Saldırı Nasıl Gerçekleşti?
Saldırganlar, Kelp DAO ve LayerZero arasındaki köprü mesajlaşma sistemindeki bir açığı hedef aldı. Köprü, bir zincirdeki token'ları kilitlerken diğer zincirde karşılıklarını basan bir yapıya sahip. Saldırgan, transfer mesajlarını manipüle ederek aslında kilitlenmemiş varlıklar için yeni rsETH token'ları oluşturmayı başardı. Bu süreçte yaklaşık 116.500 rsETH, herhangi bir teminat desteği olmaksızın dolaşıma sokuldu.
Saldırgan, elde ettiği bu sahte varlıkları Aave protokolüne teminat olarak yatırarak yaklaşık 190 milyon dolar değerinde ETH ve ilgili varlıkları ödünç aldı. Bu durum, Aave'nin sistemik olarak tasarlanan güvenlik protokollerine rağmen, teminatın değerini yitirmesi nedeniyle ciddi bir kötü borç riskiyle karşı karşıya kalmasına neden oldu.
Aave'nin Aldığı Önlemler ve İki Farklı Senaryo
Olayın fark edilmesinin ardından Aave Labs, riski kontrol altına almak için hızla harekete geçti. Protokol, rsETH piyasalarını tüm ağlarda dondurdu, kredi-teminat oranlarını (LTV) sıfıra indirdi ve bu varlık üzerinden yeni borç alım işlemlerini durdurdu. Ancak, protokolün nihai zararı Kelp DAO'nun bu açığı nasıl yöneteceğine bağlı olarak iki farklı senaryoda şekilleniyor:
- Kayıpların rsETH sahiplerine yayılması: Eğer zarar tüm rsETH sahipleri arasında paylaştırılırsa, token'da %15'lik bir değer kaybı yaşanması ve Aave'nin yaklaşık 123 milyon dolarlık bir kötü borçla karşılaşması bekleniyor.
- Zararın Layer 2 ağlarında izole edilmesi: Eğer kayıplar sadece Arbitrum ve Mantle gibi Layer 2 ağlarıyla sınırlandırılırsa, Aave'nin maruz kalacağı borç yükünün 230 milyon dolara kadar çıkabileceği öngörülüyor.
DeFi Ekosisteminde Güven Arayışı
Bu olay, DeFi protokollerinin birbirine ne kadar bağımlı olduğunu ve dış sistemlerden gelen risklerin ne denli yıkıcı olabileceğini bir kez daha kanıtladı. Saldırı sonrası yatırımcıların Aave'den yaklaşık 6 milyar dolarlık likidite çekmesi, ekosistemdeki genel güven kaybının bir göstergesi olarak değerlendiriliyor. Aave DAO hazinesinde yaklaşık 181 milyon dolarlık bir varlık bulunsa da, Kelp DAO'nun zararı karşılama stratejisi belirsizliğini koruyor. Kripto ekosistemi, protokoller arası entegrasyonun getirdiği bu tür "dolaylı maruziyet" risklerini yönetme konusunda daha temkinli bir sürece girmiş görünüyor.
