18 Nisan 2026’da merkeziyetsiz finans (DeFi) protokollerinden Aave’de, üçüncü parti köprü altyapısında ortaya çıkan ciddi bir açık, Ethereum ekosisteminde büyük bir güvenlik krizine yol açtı. Saldırı, Kelp protokolü üzerinde çalışan rsETH LayerZero köprüsündeki tekil doğrulayıcıya dayalı yapı nedeniyle mümkün oldu.
Köprüdeki zafiyet nasıl ortaya çıktı?
Kelp’in Unichain’den Ethereum’a çalışan LayerZero V2 köprüsü, tüm zincirler arası mesajların onayını sağlayan yalnızca bir doğrulayıcıya dayanıyordu. Böyle bir “tekil doğrulayıcı ağı”, zincirdeki verinin sahte bir şekilde manipüle edilmesine imkan verdi. RPC-poisoning olarak bilinen saldırı türünün kullanılmasıyla köprünün doğrulayıcısı yanıltıldı ve kaynak zincirde yakma işlemi olmamasına rağmen Ethereum tarafında 116.500 rsETH serbest bırakıldı.
Bu yanlış mesaj, köprü adaptörü aracılığıyla Ethereum tarafında işlem gördü. Unichain tarafında sayıcı değer bir önceki seviyede kalmasına rağmen, Ethereum köprüsü mesajı onayladı ve büyük miktarda rsETH tokenı sistem dışına çıktı.
Mini sözlük: LayerZero, farklı blokzincirler arasında mesaj aktarımını ve varlık transferlerini sağlayan, çok zincirli birlikte çalışabilirlik protokolüdür. Doğrulayıcı (verifier) ise köprü üzerindeki zincirler arası işlemleri onaylayan bağımsız yapı veya kişiyi ifade eder.
Saldırgan Aave’de nasıl hareket etti?
Saldırgan, kısa süre içinde 116.500 rsETH’yi yedi ayrı adrese dağıttı ve bu tokenların 89.567’sini Ethereum ve Arbitrum’daki sekiz farklı Aave V3 pozisyonuna teminat olarak yatırdı. Ardından, bu teminata karşı 82.650 WETH ve 821 wstETH borçlandı. Pozisyonların sağlık katsayıları 1,01 ile 1,03 arasında tutuldu; bu da otomatik tasfiye riskini minimumda tutarak çekilen varlıkların cüzdanlarda kalmasını sağladı.
Aave ekosisteminde rsETH’nin teminat olarak listelenmesi, doğrudan köprü üzerindeki bu doğrulama yoluna bağımlılık oluşturmuştu. Bu zafiyet ise tamamen protokol dışı, köprü kaynaklıydı.
Sistemi yakından takip eden geliştiriciler, “rsETH varlıklarının teminat olarak eklenmesi, ilgili köprü altyapısındaki riskleri de protokol içerisine taşımış oldu” yorumu yaptı.
Anında müdahale ve alınan önlemler
Aave ekibi, Guardian sistemleri üzerinden yalnızca saatler içinde olağanüstü önlemler aldı. 18 Nisan akşamında rsETH ve wrsETH varlıklarının Aave V3 üzerindeki transferleri donduruldu, teminat oranı sıfıra çekildi. Aave V4’te de ilgili tüm varlıklar için alım ve borçlanma anında devre dışı bırakıldı.
Aynı gün Kelp tarafında da 43.373 rsETH donduruldu. Takip eden iki gün boyunca Ethereum, Arbitrum, Base, Mantle ve Linea ağlarında WETH için işlemler durduruldu. Arbitrum Güvenlik Konseyi ise 21 Nisan’da saldırgana bağlı 30.766 ETH’yi bloke etti.
23 Nisan itibarıyla, birçok dağıtım üzerinde rsETH rezervleri tamamen durdurularak hem saldırgan pozisyonlarının tasfiyesi hem de kullanıcıların korunması garanti altına alındı.
144 milyon doları aşan kurtarma ve toplu iş birliği
Yaşanan gelişmeler sonrası Lido, Ethena, Mantle gibi önemli likidite sağlayıcıların dahil olduğu DeFi United konsorsiyumu, toplamda 300 milyon dolar değerinde kurtarma sözü verdi. Aave’nin LayerZero OFT adaptörü ise beş aşamada yeniden dolduruldu ve toplamda 116.131 rsETH’lik teminat tamamen geri kazanıldı. Böylece ilgili Aave piyasalarında normal işleyiş eski haline döndü.
