Merkeziyetsiz finans piyasasında son dönemde yaşanan saldırılar, açık blokzincir protokollerinin sistemik riskleri ne ölçüde taşıyabildiği sorusunu yeniden gündeme getirdi. Tartışmaların odağına ise Nisan 2026’da KelpDAO köprüsüne yönelik 292 milyon dolarlık saldırının ardından, merkeziyetsiz kredi platformu Aave’den 48 saat içinde gerçekleşen 8,45 milyar dolarlık mevduat çıkışı yerleşti.
Nisan krizinin bilançosu
Paris’te geçen hafta düzenlenen Proof of Talk etkinliğinde konuşan Aave Labs kurucusu ve CEO’su Stani Kulechov, Aave’nin geleneksel finansa kıyasla matematiksel olarak daha güçlü bir yapıya sahip olduğunu savundu. Kulechov, sert piyasa koşullarına rağmen platformun dayanıklılığını koruduğunu söyledi.
Aave’nin mevcut V3 altyapısı birden fazla piyasa döngüsünden geçti. Gerçekten çalkantılı dönemlerde de oldukça dirençli kaldı.
Ancak Nisan ayındaki gelişmelere daha yakından bakıldığında, Aave’nin ayakta kalmasının yalnızca otomatik tasarımdan kaynaklanmadığı görüldü. Acil toparlanma sürecinde Aave DAO tarafından 25.000 ETH taahhüt edildi, Kulechov da kişisel olarak 5.000 ETH katkı sundu. Toplamda yaklaşık 300 milyon dolarlık bu destek, platform üzerindeki baskının hafifletilmesinde etkili oldu.
Saldırının nasıl ilerlediği
Kulechov, temel akıllı sözleşme kodu ile dış altyapı kaynaklı sorunları birbirinden ayırdı. Ona göre DeFi protokollerinin çekirdek akıllı sözleşmelerinde genel olarak az sayıda sorun bulunuyor; asıl kırılganlık, üçüncü taraf bağımlılıklarında ortaya çıkıyor.
Geliştirme tarafında DeFi protokollerinin akıllı sözleşmelerinde genel olarak çok az sorun var. Son dönemde görüldüğü gibi, etkisi tüm DeFi alanına yayılabilen riskler daha çok geleneksel güvenlikle bağlantılı üçüncü taraf bağımlılıklarından kaynaklanıyor.
Mini sözlük: RPC spoofing, bir sistemin güvenilir bir uzak prosedür çağrısı kaynağı gibi davranılarak yanıltılması anlamına gelir. DDoS ise çok sayıda istekle bir hizmeti erişilemez hale getirmeyi amaçlayan dağıtık hizmet engelleme saldırısıdır.
Risk modelleme şirketi LlamaRisk’in aktardığına göre saldırganlar, LayerZero doğrulayıcı düğümlerini hedef alan RPC spoofing ve DDoS saldırısının ardından değersiz teminat üretti. Bu varlıklar daha sonra Aave’ye yatırıldı ve karşılığında gerçek wrapped Ether, yani wETH çekildi. Sonuçta Aave V3 üzerinde tahmini 123,7 milyon dolarlık batık borç oluştu.
V4 ile risk yapısı değişecek
Bank Policy Institute analistleri de Aave’nin yetersiz sigorta yapısının, DeFi platformlarının ani para çıkışlarına karşı kullanıcılar aleyhine kırılgan kalabildiğini gösterdiğini belirtti. Bu değerlendirme, zincir üstü şeffaflığın tek başına yeterli olmayabileceği yönündeki eleştirileri güçlendirdi.
Kulechov ise bulaşma riskinin mimari düzeyde ele alınması gerektiğini kabul etti. Aave Labs’in yaklaşan V4 güncellemesiyle risk yönetimini baştan tasarladığı, böylece gelecekte köprü kaynaklı saldırıların geniş çaplı mevduat çıkışlarını tetiklemesinin önüne geçilmesinin hedeflendiği ifade edildi.
Yeni sürümde geleneksel token havuzlama modelinin yerini modüler bir hub and spoke sistemi alacak. Buna göre ana protokol, belirli teminat kalemlerine yerel risk primi uygulayabilecek ve bulaşma ana kredi rezervlerine ulaşmadan önce ilgili hatları dondurabilecek.
Tamamen denetlenebilir ve açık bir sistem olduğunda herkes kodu inceleyebilir ve farklı risk analizleri yapabilir. Dayanıklı yazılım inşa etmenin anahtarı da burada yatıyor.
