18 Nisan 2026’da Aave üzerinde yaşanan olay, merkeziyetsiz finans sektöründe derin bir güvenlik krizini ortaya çıkardı. Bu krize, Kelp protokolü üzerindeki rsETH LayerZero köprüsünde tespit edilen ciddi bir güvenlik açığı neden oldu. Bu açık, Ethereum ekosisteminde yoğun bir güvenlik tehdidi yarattı.
Köprü Güvenliği ve Zafiyetler
Kelp’in Unichain’den Ethereum’a çalışan LayerZero V2 köprüsü, yalnızca bir doğrulayıcıya dayanarak çalışıyordu. Bu tekil doğrulayıcı altyapısı, zincirler arası veri manipülasyonuna çanak tuttu. RPC-poisoning saldırısı burada devreye girerek, köprünün doğrulayıcısını yanlış yönlendirdi ve 116.500 rsETH’nin serbest bırakılmasına neden oldu.
Köprü adaptörü aracılığıyla gerçekleşen bu işlem, Ethereum tarafında değişiklik yapılmaksızın onaylandı. Bunun sonucunda, büyük miktarda rsETH tokenı sistem dışına aktarıldı ve veri manipülasyonunun sonuçları daha da genişledi.
Saldırganın Stratejisi ve Aave’deki Hareketler
Saldırgan, ele geçirdiği 116.500 rsETH’yi hızla farklı adreslere dağıttı. Bu tokenların önemli bir bölümü, Aave V3’te çeşitli pozisyonlarda teminat olarak kullanıldı. Ardından, bu pozisyonlara karşılık 82.650 WETH ve 821 wstETH borçlandı. Sağlık katsayıları dikkatlice ayarlandı ve varlıklar cüzdanlarda güvende tutuldu.
Aave ekosistemindeki rsETH teminatları, doğrudan köprü altyapısına bağlı kalarak benzer riskleri protokole taşıdı. Bu durum, köprü kaynaklı zafiyetlerin protokol üzerindeki etkilerini gözler önüne serdi.
Geliştiriciler, “rsETH varlıklarının teminat olarak eklenmesi, ilgili köprü altyapısındaki riskleri de protokol içerisine taşımış oldu” şeklinde yorum yaptı.
Önlemler ve Kurtarma Çabaları
Olayın ciddiyetine hızla yanıt veren Aave ekibi, Guardian sistemleri aracılığıyla hızlı müdahale gerçekleştirdi. 18 Nisan akşamı itibarıyla, rsETH ve wrsETH varlıklarının Aave V3’teki hareketleri durduruldu, teminatlar sıfırlandı. Aave V4’te ise alım ve borçlanma işlemleri askıya alındı.
Kelp platformunda benzer önlemler alındı ve büyük miktarda rsETH donduruldu. Arbitrum Güvenlik Konseyi, saldırgana ait 30.766 ETH’yi bloke etti. Çeşitli ağlarda işlem durdurma kararları alındı ve rsETH rezervleri güvence altına alındı.
Lido, Ethena, Mantle gibi likidite sağlayıcılar, kurtarma operasyonlarına destek vererek toplam 300 milyon dolarlık bir kurtarma sözü ilan etti. Tüm bu önlemlerle, Aave’nin operasyonları normal seyrine dönmesine olanak sağlandı. Kriz, sektör aktörlerinin kolektif çabasıyla sınırlı hasarla atlatıldı.
