KelpDAO Saldırısı, Aave'de 300 Milyon Dolarlık Likidite Krizi Yarattı
Kripto para dünyası, merkeziyetsiz finansın (DeFi) karmaşık yapılarıyla her geçen gün yeni risklerle yüzleşiyor. Son olarak KelpDAO protokolünde yaşanan ve 292 milyon dolarlık rsETH token'ının çalınmasıyla sonuçlanan siber saldırı, Aave gibi köklü lending platformlarında beklenmedik bir zincirleme reaksiyona neden oldu. Bu olay, kullanıcıların likiditeye erişmek için kendi varlıklarına karşı borçlanmak zorunda kalmasına, hatta bu uğurda ciddi kayıpları göze almasına yol açan dramatik bir tablo çizdi.
Aave'de $300 Milyonluk Tuhaf Bir Borçlanma Dalgalanması
Saldırının hemen ardından Aave platformunda ortaya çıkan veriler, şaşırtıcı bir durumu gözler önüne serdi. Chaos Labs'ın analizlerine göre, saldırıdan sonraki ilk 24 saat içinde, Aave kullanıcıları Tether (USDT) mevduatlarını teminat göstererek yaklaşık 300 milyon dolarlık borçlanma gerçekleştirdi. Ancak bu borçlanma artışı, normalde bir talebin değil, daha çok likiditeye erişim zorluğunun bir göstergesiydi. Bir bankanın mevduat çekme taleplerini karşılayamadığını ve müşterilerinin çaresizlik içinde kendi paralarına karşı borçlanmak zorunda kaldığını hayal edin. DeFi'de yaşanan tam da buydu.
Rakip DeFi borç verme platformu Spark'ın strateji başkanı "monetsupply.eth" bu durumu, "Aave stablecoin piyasalarında likidite eksikliğinin bazı olumsuz ikincil etkilerini görüyoruz. Kullanıcılar %100 kullanım oranı nedeniyle çekim yapamadığı için, rsETH istismarı sonrası sadece son bir günde USDT teminatıyla yaklaşık 300 milyon dolarlık borçlanma artışı yaşandı" sözleriyle özetledi.
rsETH Exploit'i ve Kırılan Mekanizma
KelpDAO'daki tek bir istismarın Aave'deki tüm stablecoin çıkışlarını eş zamanlı olarak nasıl kilitlediğini anlamak için sistemin nasıl çalışması gerektiğini ve tam olarak nerede bozulduğunu bilmek gerekiyor. Aave, kullanıcıların aracısız bir şekilde kripto para ödünç alıp vermesine olanak tanıyan merkeziyetsiz bir finans (DeFi) protokolüdür. Kullanıcılar, borç verme havuzlarına varlık yatırır ve faiz kazanır. Diğerleri ise, kredi miktarını aşan kripto varlıkları teminat göstererek aynı havuzlardan borçlanır. Sistem, faiz oranları aracılığıyla otomatik olarak kendini düzeltmek üzere tasarlanmıştır.
rsETH ise KelpDAO tarafından ihraç edilen, Ethereum (ETH) likit yeniden stake etme token'ıdır. ETH stake ettiğinizde, Ethereum ağının güvenliğine katkıda bulunarak karşılığında getiri elde edersiniz. Yeniden stake etme, zaten stake edilmiş varlıkları ek sistemleri güvence altına almak için yeniden kullanmak anlamına gelir ve böylece üst üste getiri elde etmenizi sağlar. rsETH de bu tür bir 'makbuz' token'ı olup DeFi dünyasında yaygın olarak teminat olarak kullanılmaktadır.
18 Nisan'da bir saldırgan, KelpDAO'nun köprü altyapısını manipüle ederek 116.500 rsETH'yi, yani token'ın dolaşımdaki arzının yaklaşık %18'ini ve değeri 292 milyon dolar olan token'ı serbest bıraktı. Bu sahte, karşılıksız token'lar derhal Aave başta olmak üzere borç verme protokollerine yatırıldı ve karşılığında gerçek ETH ve diğer varlıklar, örneğin wrapped ether (wETH), borç alındı. Yani sisteme sahte token'lar girdi, gerçek paralar çıktı.
Zincir üstü finans ve risk konularındaki çalışmalarıyla bilinen takma adlı kripto operatörü "0xyanshu" durumu şöyle açıkladı: "Bu [borç alınan] wETH gitti. Kasalarda yerini tutan rsETH'nin değeri, artık boş olan bir ana ağ kilit kutusu tarafından desteklenen 20'den fazla zincirde köprülenmiş rsETH'nin değersiz bir talebi kadar oldu, yani sıfıra yaklaştı."
Likidite Tükenince Kilitlenen Havuzlar
Aave, saldırının duyulmasının ardından rsETH piyasalarını V3 ve V4 üzerinde saatler içinde dondurdu. Kurucu Stani Kulechov, istismarın harici olduğunu ve Aave'nin sözleşmelerinin tehlikeye girmediğini doğruladı. Bu dondurma, kanamayı durdurdu. Ancak aynı zamanda 300 milyon dolarlık borçlanma artışına yol açan zincirleme reaksiyonu da tetikledi.
İstismar haberi yayıldığında, balinalar ve büyük fonlar, Aave'nin likidite havuzlarından saatler içinde milyarlarca dolarlık kripto para çektiler. Analist Duo Nine, "rsETH istismarı gerçekleştiğinde ve AAVE kötü borçlarla karşılaştığında, Justin Sun, MEXC borsası ve diğer balinalar AAVE'den milyarlarca doları anında çekti. Başlangıçta ETH piyasası %100 kullanım oranına ulaştı, yani ETH'nizi AAVE'den çekemiyordunuz" dedi.
Bu durum kısa sürede USDT ve USDC havuzlarına da yayıldı ve bunların kullanım oranlarını %100'e çıkardı; zira saatler içinde protokolden 6 milyar doların üzerinde varlık çıktı. Her borç verme havuzu, kullanıcılar tarafından yatırılan belirli miktarda varlık tutar. Bu varlıkların her doları ödünç verildiğinde, çekimler için hiçbir şey kalmaz. Duo Nine, "AAVE son 24 saatte 6 milyar dolardan fazla likidite kaybettiği için bu böyle oldu. Balinalar paralarını çekerken, USDT ve USDC de %100 kullanım oranına ulaştı. Bu piyasalar da artık kilitlenmiş parayla sıkışmış durumda" diye ekledi.
Kendi Parana Karşı Borçlanma: Son Çıkış Yolu
Paralarını basitçe çekemeyen kilitlenmiş USDT ve USDC mevduat sahipleri, kendilerine kalan tek çıkış yoluna başvurdular. Kilitlenmiş mevduatlarından kredi çekmeye başladılar. Duo Nine, "Bazı kullanıcılar USDT/USDC'ye karşı borç alıp %10-25 zararla diğer piyasalar üzerinden çıkış yapmaya karar verdi. Temel olarak, kilitli USDT/C'nize karşı GHO/DAI/USDe borçlanıyorsunuz" diye açıkladı. Bu bir ticaret stratejisi değildi, tamamen çaresizlikten yapılan bir eylemdi.
Kendi paralarına karşı zararına borçlanarak, %75'e varan bir kayıpla (her dolar için 75 cent almayı kabul ederek), sistemden herhangi bir likiditeyi çekmek için yapılan umutsuz bir eylemdi. Aave, varlığa ve risk parametrelerine bağlı olarak, yatırılan teminatın toplam kredi-değer (LTV) oranının %75'ine kadar borçlanmaya izin verir. "monetsupply.eth" bu durumu, "Maksimum %75 LTV ile, kilitli USDT mevduatına sahip kullanıcılar Aave pozisyonlarının değerinin dörtte üçüne kadarını çekebilir. Ancak bu, diğer piyasalardaki likiditeyi azaltır; USDC ve USDe piyasaları da artık %100 kullanım oranına ulaştı" şeklinde yorumladı.
DeFi dünyasını dışarıdan izleyenler için mesaj açıktı: "Merkeziyetsiz" olmak, "risksiz" olmak anlamına gelmiyor.
Editör Yorumu:
KelpDAO saldırısı ve ardından Aave'de yaşanan likidite krizi, merkeziyetsiz finans ekosisteminin karmaşıklığını ve birbirine bağımlılığını bir kez daha gözler önüne serdi. Tek bir protokoldeki güvenlik açığı, domino etkisiyle sektörün en büyük lending platformlarından birinde ciddi sorunlara yol açtı. Bu durum, DeFi projelerinin akıllı sözleşme güvenliğinin yanı sıra, likidite yönetimi ve kriz anlarında yaşanabilecek zincirleme reaksiyonlara karşı ne kadar hazırlıklı olması gerektiğini gösteriyor. Özellikle balinaların hızla para çekmesi, piyasa dinamiklerinin ne kadar kırılgan olabileceğini kanıtlar nitelikte.
Aave kullanıcılarının kendi paralarına karşı borçlanarak likidite arayışına girmesi, sistemin kritik bir noktaya geldiğinin çarpıcı bir göstergesi. Bu durum, DeFi'nin vaat ettiği aracısızlık ve özgürlüğün, belirli koşullar altında nasıl bir çaresizliğe dönüşebileceğini gözler önüne seriyor. Kısa vadede bu tür olaylar, yatırımcıların DeFi protokollerine olan güvenini sarsabilir ve özellikle stablecoin piyasalarında algılanan riski artırabilir. Ancak uzun vadede, bu tür krizler, sektörün daha sağlam ve dirençli mekanizmalar geliştirmesine öncülük edebilir.
DeFi alanında yatırım yapmayı düşünen veya halihazırda pozisyonları olan kullanıcılar için, protokollerin risk yapılarını, teminatlandırma modellerini ve kriz yönetimi stratejilerini derinlemesine anlamanın önemi bir kez daha vurgulanmış oldu. Unutulmamalıdır ki, merkeziyetsizlik tek başına bir güvenlik garantisi değildir; her protokolün kendi içinde barındırdığı operasyonel ve teknik riskler bulunmaktadır. Bu gelişme, piyasanın genelinde risk algısını güçlendirerek, daha dikkatli bir yaklaşımın benimsenmesine katkıda bulunabilir.
Editör Notu: Bu haber Bivizyoner editörleri tarafından bağımsız olarak hazırlanmış ve analiz edilmiştir.