Hafta sonu KelpDAO ve LayerZero köprülerinde yaşanan kritik açık, merkeziyetsiz finans platformu Aave’yi büyük bir mali riskle karşı karşıya bıraktı. Zincirler arası transfer mekanizmasındaki açık nedeniyle Aave’nin potansiyel kaybının 230 milyon dolara ulaşabileceği belirtildi.
Köprüdeki açık nasıl kullanıldı?
Aave Labs ve LlamaRisk tarafından Aave yönetim forumunda yayımlanan ve detaylara odaklanan rapora göre olay rsETH adlı likit yeniden stake token’ı etrafında dönüyor. KelpDAO’nun çıkardığı bu token, farklı blokzincirlerde dolaştırılırken üzerinde çalıştığı köprü sistemi kullanılıyor. Sistemin mantığı, bir zincire kilitlenen token’ın diğer zincirde karşılığının çıkarılması üzerine kurulu.
Fakat bu süreçte saldırgan, transfer talebinde sahte bir mesaj hazırlamayı başardı. Böylece gönderen zincirden token’lar gerçekten çıkmamışken, varmış gibi görünerek yeni rsETH üretilebildi. Bu yöntemle Ethereum’da köprü üzerinde kilitli olması gereken 116.500 rsETH serbest bırakıldı.
Saldırgan Aave’ye rsETH yatırıp büyük meblağlar çekti
Elde edilen rsETH’yi satmak yerine, saldırganın bu varlıkların 89.567’sini Aave platformunda teminat olarak gösterdiği vurgulandı. Sonrasında ise Ethereum ve Arbitrum ağlarında toplamda 190 milyon dolar değerinde ETH ve farklı varlık borç olarak çekildi. Bu hareket Aave’nin kasasında reel karşılığı tartışmalı olan bir teminat stoğu oluşmasına yol açtı.
“Saldırıdan birkaç saat içinde rsETH piyasalarını dondurduk, kredi verme işlemlerini durdurduk ve bu varlık üzerindeki teminat oranlarını sıfıra indirdik.”
Aave Labs, olayın tespitinden kısa süre sonra önlem olarak rsETH işlemlerini tamamen askıya aldıklarını açıkladı. Ayrıca, yeni borçlanmaların da önünü kapatarak hızlı risk yönetimi uygulandı.
Kazanın büyüklüğü nasıl şekillenecek?
En önemli belirsizlik, KelpDAO’nun açığı telafi etme yöntemine bağlı. Eğer zarar tüm rsETH sahiplerine eşit dağıtılırsa, token değerinde yaklaşık %15’lik bir sapma ve Aave üzerinde 124 milyon dolarlık batık borç oluşacağı öngörülüyor. Zararlar sadece Layer 2 çözümlerine yüklenirse, bu kez Arbitrum ve Mantle gibi ağlarda 230 milyon dolara yakın kötü borç ortaya çıkacak.
Uzmanlar, olayın KelpDAO’nun LayerZero protokolü üzerinden yaptığı transfer mesajlarının doğrulanması kısmında yaşanan açık nedeniyle gerçekleştiğini ifade etti. Katmanlar arası mesajlaşmada güvenlik kontrollerinin yetersiz olması, saldırganın fiktif bir destek yaratarak sisteme reel karşılıksız fon aktarabilmesini mümkün kıldı. LayerZero altyapısı doğrudan hedef alınmasa da, bu mesaj katmanındaki varsayımların yanlışlığı gün yüzüne çıktı.
Olaydan hemen sonra Aave kullanıcıları önemli miktarda varlık çekmeye başladı. Platformdaki kilitli toplam varlık miktarı yaklaşık 6 milyar dolar geriledi. Bu hızlı çıkış, piyasada bir güven kaybını ve risk endişesini yansıttı.
Rapor, Aave DAO hazinesinde 181 milyon dolar değerinde varlık bulunduğunu belirtirken, kayıpların nasıl telafi edileceğiyle ilgili ekosistem içinde görüşmeler sürdüğünü aktardı. KelpDAO ise halihazırda zararın kullanıcılar arasında nasıl paylaşılacağına dair kesin bir plan açıklamış değil.
Son gelişme Aave gibi büyük DeFi platformlarının, dış takas ve köprü alt yapılarındaki zafiyetlerden dolaylı şekilde ne kadar etkilenebildiğini gösteriyor. Zincirler arası entegrasyonun artmasıyla benzer risklerin yakın takip gerektirdiği vurgulanıyor.
