Kelp DAO İstismarı, 292 Milyon Dolar, Aave Değer Kaybetti

Kripto para piyasası, merkeziyetsiz finans (DeFi) dünyasında yaşanan büyük bir güvenlik açığıyla yeniden sarsıldı. Geçtiğimiz hafta sonu, Kelp DAO protokolünde meydana gelen ve yaklaşık 292 milyon doları bulan istismar, sektördeki kırılganlıkları bir kez daha gözler önüne serdi. Bu olay, özellikle Aave gibi önde gelen borç verme protokolleri üzerindeki potansiyel zincirleme etkileriyle ciddi endişelere yol açtı.

DeFi Güvenliği Yine Mi Tartışılıyor?

Yapılan ilk incelemeler, saldırının merkezinde Kelp'in rsETH token'ının ve varlıkların blok zincirleri arasında taşınmasını sağlayan mekanizmanın olduğunu gösteriyor. rsETH, Ether (ETH) bazlı, getiri sağlayan bir token olarak biliniyor. Saldırganın, bu sistemi manipüle ederek karşılığı olmayan büyük miktarda token oluşturduğu ve bunları hızla teminat olarak kullanarak borç verme piyasalarından gerçek varlıkları çektiği belirtiliyor. En büyük merkeziyetsiz borç verme platformu olan Aave, bu durumdan en çok etkilenen protokoller arasında yer alıyor.

Bu olay, sadece birkaç hafta önce Solana tabanlı Drift protokolünde yaşanan 285 milyon dolarlık istismarın ardından gelmesiyle, toplamda yaklaşık 90 milyar dolarlık kripto sektöründe yatırımcı güvenini daha da zedeledi. Ledger donanım cüzdanı üreticisinin CTO'su Charles Guillemet, CoinDesk'e yaptığı açıklamada, istismarın LayerZero köprü bileşenini hedef aldığını belirtti. Köprüler, genellikle bir zincirdeki varlıkları kilitleyip diğerinde eşdeğer token'lar üreterek çalışır. Bu süreç, mevduatları onaylamak için güvenilir bir varlığa (oracle veya doğrulayıcı) ihtiyaç duyar. Bu olayda, Kelp etkili bir şekilde bu doğrulayıcı rolünü üstlenmişti.

Guillemet, sistemin tek bir imzalayıcı kurulumuna dayandığını, yani yalnızca bir varlığın işlemleri onaylayabildiğini vurguladı. "Görünüşe göre saldırgan, büyük miktarda rsETH basmasına izin veren bir mesajı imzalayabildi," dedi ve bu erişimin nasıl elde edildiğinin hala belirsizliğini koruduğunu ekledi.

Aave ve Borç Verme Protokollerinde Zincirleme Etki

Curve Finance kurucusu Michael Egorov da sistemin yapılandırmasındaki aynı zayıflığa dikkat çekti: "Tek bir tarafa güvenildiğinde her şey olabilir." Bu kurulum, saldırganın, kaynak zincirde karşılık gelen varlıklar kilitli olmasa bile etkili bir şekilde desteksiz token'lar oluşturmasına olanak tanıdı. Oluşturulan token'lar hızla dağıtıldı. Guillemet, saldırganın "bunları hemen borç verme protokollerine, çoğunlukla Aave'ye yatırarak gerçek ETH karşılığında borç aldığını" açıkladı.

Bu manevra, tek bir istismarı daha geniş bir piyasa sorununa dönüştürdü. DeFi borç verme platformları şimdi tasfiye edilmesi zor olabilecek teminatlarla kalırken, değerli ve likit varlıklar çoktan çekildi. Curve'den Egorov, "Aave, gerçekten satılamayan rsETH ve maksimumda borç alınan ETH ile kaldı, bu yüzden kimse ETH çekemiyor," dedi. Sonuç olarak, Aave ve diğer borç verme protokollerinin yüz milyonlarca dolarlık şüpheli teminat ve batık krediyle karşı karşıya kalabileceği uyarısında bulundu ve kullanıcıların fonlarını çekmek için acele etmesiyle potansiyel bir "banka koşusu" dinamiği endişesini dile getirdi.

Aave, olayın ardından kullanıcıların varlıklarını çekmesiyle protokoldeki yaklaşık 6 milyar dolarlık bir varlık düşüşü yaşadı. Protokol ile ilişkili token ise son 24 saatlik işlemlerde yaklaşık yüzde 15 oranında değer kaybetti.

İstismarın Perde Arkası ve Uzman Görüşleri

Doğrulayıcının nasıl tehlikeye atıldığına dair temel sorular devam ediyor. Sistem, LayerZero'nun resmi düğümüne dayanıyordu, bu da saldırıya uğrayıp uğramadığı, yanlış yapılandırılıp yapılandırılmadığı veya yanıltılıp yanıltılmadığı konusunda belirsizlik yaratıyor. Egorov, "Saldırıya mı uğradı? Kandırıldı mı? Bilmiyoruz," ifadelerini kullandı. Saldırganın kimliği de bilinmiyor, ancak Guillemet, saldırının ölçeğinin sofistike bir aktörü işaret ettiğini belirtti. "Açıkça bazı script kiddie'ler değil," dedi.

Anlık kayıpların ötesinde, bu olay DeFi'ın daha birbirine bağlı hale geldikçe, bir katmandaki hataların sistem genelinde hızla yayılabileceğinin başka bir hatırlatıcısı oldu. Egorov, varlıkların havuzlar arasında riski paylaştığı izole olmayan borç verme modellerinin bu tür olayların etkisini artırdığını savundu. Ayrıca, yeni varlıkların borç verme platformlarına nasıl eklendiği konusundaki eksikliklere dikkat çekerek, Kelp'in 1'e 1 doğrulayıcı kurulumu gibi yapılandırmaların daha önce işaretlenmesi gerektiğini söyledi.

Güven Kaybı ve DeFi'ın Geleceği

Yine de, bu tür olaylar protokol yükseltmelerine ve yeniden tasarımlara yol açsa da, yatırımcıların geniş DeFi sektörüne olan güvenini de sarsıyor. Guillemet, "Tüm bunlarla birlikte, DeFi protokollerine olan güven bu tür olaylarla aşınıyor," dedi. Ayrıca, "2026 büyük olasılıkla yine saldırılar açısından en kötü yıl olacak," öngörüsünde bulundu.

Ancak Egorov'a göre bir umut ışığı da var. "Kripto, hiçbir bankanın hayatta kalamayacağı kadar çetin bir ortamdır – yine de bununla çalışıyoruz," dedi. "Bence DeFi bu olaydan ders çıkaracak ve eskisinden daha güçlü hale gelecektir." Bu olaylar, DeFi ekosisteminin olgunlaşma sürecinde önemli bir öğrenme eğrisi sunduğunu ve güvenlik protokollerinin sürekli olarak gözden geçirilmesi ve iyileştirilmesinin gerekliliğini vurgulamaktadır.

Editör Yorumu:

Kelp DAO'da yaşanan 292 milyon dolarlık istismar, merkeziyetsiz finans (DeFi) alanındaki risk yönetiminin ve güvenlik standartlarının ne denli kritik olduğunu bir kez daha ortaya koymuştur. Özellikle tekil doğrulayıcı sistemlere dayalı köprü mekanizmalarının, gelişmiş saldırganlar karşısında ne kadar savunmasız kalabileceği net bir şekilde görüldü. Bu tür olaylar, yalnızca doğrudan etkilenen protokoller için değil, tüm entegre DeFi ekosistemi için bir domino etkisi yaratma potansiyeli taşıyan bir niteliğe sahiptir. Aave gibi büyük platformların dahi bu tür bir "kötü borç" riskiyle karşılaşması, sektördeki çapraz bağlantıların dikkatle ele alınması gerektiğini gözler önüne sermiştir.

Her ne kadar bu tür güvenlik ihlalleri yatırımcı güvenini zedelese de, kripto dünyası geçmişte benzer krizlerden ders çıkararak daha dirençli yapılar inşa etme eğiliminde olmuştur. Bu olay da, protokol geliştiricilerinin daha sağlam güvenlik katmanları oluşturması, çoklu imza sistemlerini benimsemesi ve riskli yapılandırmalara karşı daha proaktif önlemler alması için bir katalizör görevi görebilir. Kısa vadede piyasada bir tedirginlik ve belirli token'larda volatilite gözlemlenebilirken, uzun vadede bu deneyimlerin DeFi'ın genel sağlığı ve sürdürülebilirliği için olumlu sonuçlar doğurması muhtemeldir.

Yatırımcıların, projeleri seçerken yalnızca getiri potansiyelini değil, aynı zamanda güvenlik denetimlerini, protokol mimarisini ve risk yönetimi mekanizmalarını da göz önünde bulundurmaları büyük önem taşımaktadır. Unutulmamalıdır ki, merkeziyetsiz finansın sunduğu fırsatlar kadar, barındırdığı riskler de mevcuttur ve bu risklerin farkında olmak, bilinçli kararlar almak için elzemdir. Bu tür gelişmeler, sektörün olgunlaşma sürecinin doğal bir parçası olarak değerlendirilmelidir.

Editör Notu: Bu haber Bivizyoner editörleri tarafından bağımsız olarak hazırlanmış ve analiz edilmiştir.