Geçtiğimiz hafta sonu, merkeziyetsiz finans (DeFi) dünyasında 292 milyon dolarlık büyük bir saldırı gerçekleştirildi. Bu durum, özellikle güvenlik ve altyapı konularında ciddi endişeler doğururken, Aave gibi büyük borç verme platformları da bu saldırıdan doğrudan etkilendi.
Kelp ve Güvenlik Açıkları
Olayın arkasında, ethereum tabanlı bir kripto para olan rsETH ve zincirler arası transfer işlemlerinin gerçekleştirilmesinde kullanılan bir mekanizma bulunuyordu. Saldırganlar, bu sistemdeki bir açıktan faydalanarak, yeterli teminat olmaksızın sanal tokenlar üretti. Üretilen bu tokenlar, hızla kredi protokollerine tamamen yasal görünecek şekilde entegre edildi ve gerçek dijital varlıklar elde edildi.
Ledger şirketinden Charles Guillemet, saldırının LayerZero köprüsündeki bir eksiklikten kaynaklandığını belirterek bu köprülerin genellikle varlıkların bir zincirden diğerine aktarılmasını sağladığını açıkladı. Kelp protokolü, bu süreç için tek bir imzalayıcıyı güvenilir kaynak olarak belirlemişti, bu durum saldırganın yetkiyi suistimal ederek sahte rsETH üretmesine olanak tanıdı.
Guillemet, “Saldırgan, büyük miktarda rsETH üretmeyi başarmış görünüyor; ancak bu erişimin nasıl sağlandığı hâlâ belirsiz” dedi.
Borç Verme Protokollerinde Zincirleme Etkiler
Yeni oluşturulan tokenlar hızla Aave platformuna taşındı ve buradan gerçek ether (ETH) çekildi. Böylece saldırı sadece bir protokol açığı olmanın ötesine geçerek genel piyasa riskine dönüştü. Artık değersiz hale gelen rsETH’ler, piyasa oyuncularının elinde kalırken, gerçek varlıklar sistem dışına aktı.
Curve Finance kurucusu Michael Egorov, sistemde tek bir tarafın hâkimiyeti olması sebebiyle ciddi bir güvenlik açığı oluştuğunu vurguladı. Egorov, bu tür bir yapının küçük bir hatanın zincirleme bir etki yaratmasına neden olabileceğine dikkat çekti.
Curve’un kurucusu, “Aave’de satılamayan rsETH ve çekilen ETH miktarı nedeniyle mevcut durumda ether çekimi mümkün değil. Bu da büyük çaplı para çekimleriyle ‘bank run’ riskini artırıyor” ifadelerini kullandı.
Etki ve Belirsizlikler
Saldırı, birkaç hafta önce benzer bir olayın yaşandığı Drift protokolünden sonra geldi. DeFi sektörünün toplam büyüklüğü 90 milyar dolarken, artan güvenlik olayları yatırımcı güvenine zarar veriyor. Bu olayın ardından, Aave’deki toplam varlık değeri yaklaşık altı milyar dolar azalırken, platformun kendi tokenında da ciddi bir düşüş yaşandı.
Saldırının ayrıntılarının tamamı hâlâ belirsiz. Uzmanlar, LayerZero’nun güvenlik yapısının sorgulanması gerektiğini, ancak somut bir sonuca varılamadığını belirtiyor. Saldırının ardındaki kişi veya grup bilinmiyor, ancak eylem profesyonel bir yaklaşımı gösteriyor.
Gelişme, DeFi ekosistemindeki platformların ağırlıklı olarak birbirine bağlı olduğunu ve bir sistemdeki zayıflığın tüm yapıyı etkileyebileceğini gözler önüne seriyor. Yapılan eleştiriler, yeni varlıkların platformlara dahil edilme süreçlerinin daha dikkatli olması gerektiğini vurguluyor. Ancak bazı uzmanlar, bu tür deneyimlerin DeFi ekosisteminin güçlenmesine katkıda bulunabileceğini düşünüyor.
