Hafta sonu yaşanan yaklaşık 292 milyon dolarlık saldırı, merkeziyetsiz finans (DeFi) dünyasında güvenlik tartışmalarını yeniden gündeme getirdi. Özellikle risk yönetimi ve altyapı zafiyetleriyle ilgili endişeleri artıran olay, Aave gibi büyük borç verme platformlarını da doğrudan etkiledi.
Kelp ve Açığa Çıkan Güvenlik Zaafları
İlk incelemelere göre saldırının merkezi, ethereum tabanlı bir getiri sağlayan kripto para olan rsETH ve bu varlığın zincirler arası transferinde kullanılan mekanizma oldu. Saldırgan, bu sistemdeki bir açığı kullanarak yeterli teminat olmadan yüklü miktarda sanal token oluşturdu ve bunları hemen kredi protokollerinde teminat olarak göstererek gerçek dijital varlıkları hızla çekti. Özellikle DeFi sektörünün en büyük borç verme platformu olan Aave üzerinden ciddi miktarda varlığın çekildiği bildirildi.
Ledger şirketinin teknoloji direktörü Charles Guillemet, CoinDesk’e yaptığı açıklamada saldırının temelinde, varlıkların farklı blok zincirleri arasında taşınmasına imkân tanıyan LayerZero köprü bileşeninin yattığını belirtti. Normalde bu tür köprüler, varlıkların bir zincirde kilitlenip diğer tarafta denk miktarda yeni token basılması prensibiyle çalışıyor. Bu süreçte doğrulamada çoğunlukla bir onaylayıcı ya da danışman sistemi kullanılıyor. Kelp’in bu süreçte tekil bir imzalayıcıyı güvenilir kaynak olarak belirlemiş olması ise saldırganın yetkiyi ele geçirerek sisteme büyük miktarda sahte rsETH basmasına yol açtı.
Guillemet, “Saldırganın büyük miktarda rsETH basabilmesini sağlayan mesajı imzalayabildiği anlaşılıyor; bu erişimin nasıl sağlandığı ise hâlen belirsizliğini koruyor” dedi.
Lending Protokolleri Zincirleme Etkileniyor
Basılan bu yeni tokenlar, hızla Aave’deki borç verme havuzlarına aktarıldı. Saldırgan bu teminat karşılığında gerçek ether (ETH) çekerek sistemden ayrıldı. Bu durum yalnızca bir protokol açığı olmanın ötesine geçip geniş piyasa riskine dönüştü; çünkü borç verme platformlarında teminat olarak artık değersizleşmiş rsETH’ler, topluluğun elinde kalırken gerçek varlıklar sistemden çıktı.
Curve Finance kurucusu Michael Egorov, sistemde tek bir tarafın mutlak yetkisinin bulunmasının ciddi bir zafiyet oluşturduğunu belirtirken, böyle bir mimaride küçük bir açığın zincirleme risk yaratabileceğine dikkat çekti.
Curve’un kurucusu, “Aave’de şu anda gerçekten satılamayan rsETH ve maksimum miktarda çekilen ETH nedeniyle kimse ether çekemiyor. Bu, kullanıcıların toplu para çekmeleriyle ‘bank run’ riskini artırıyor” şeklinde değerlendirdi.
Olayın Sektöre Etkileri ve Soru İşaretleri
Bu saldırı, birkaç hafta önce Solana tabanlı Drift protokolünde yaşanan 285 milyon dolarlık kayıptan kısa bir süre sonra gerçekleşmiş oldu. DeFi ekosisteminde toplam sektör büyüklüğü 90 milyar doları bulurken, art arda gelen olaylar yatırımcı güveninde erozyon yaratıyor. Olay sonrası Aave’deki toplam varlık değeri altı milyar dolara yakın oranda geriledi ve protokolün kendi tokenında da son 24 saatte yüzde 15’e yakın düşüş yaşandı.
Saldırının detaylarında hâlen açıklığa kavuşmayan unsurlar var. Birçok uzman, LayerZero’nun resmi düğümünün hacklenip hacklenmediği, yanlış yapılandırılıp yapılandırılmadığı ya da başka bir şekilde kandırılıp kandırılmadığı konusunda kesin kanaate varılamadığını aktarıyor. Saldırıyı yapan kişinin veya ekibin kimliği bilinmiyor ancak yapılan işlemler ölçek bakımından oldukça profesyonel aktörleri işaret ediyor.
Yaşananlar, DeFi’yi oluşturan farklı platform ve çözümler arasındaki bağların fazlalaşmasıyla bir noktadaki hatanın tüm sisteme yayıldığını bir kez daha gösterdi. Egorov ayrıca, borç havuzlarında varlıkların ortak risk paylaşımı modeliyle yer almasının bu tür krizlerin yayılmasını hızlandırdığını savundu.
Bir diğer eleştiri ise yeni varlıkların platformlara dahil edilme süreçlerine yönelik geldi. Kelp’in 1’e 1 doğrulayıcı yapısının önceden tespit edilip önlem alınması gerektiği ifade edildi. Yine de Egorov, DeFi ekosisteminin yaşananlardan ders çıkaracağını ve daha da güçleneceğini söyledi.
Yaşanan benzer olayların protokollerde sürekli iyileştirmeye zemin hazırlasa da yatırımcı güveni üzerinde her seferinde darbe oluşturduğu gözleniyor. Guillemet, tüm bu durumun toplamda DeFi protokollerinde güven aşınmasına yol açtığına değinirken, önümüzdeki yıllarda saldırıların ve açıkların daha da artabileceği ihtimalini de dile getirdi.
