Hafta sonu KelpDAO ve LayerZero köprülerinde ortaya çıkan önemli bir güvenlik zaafiyeti, merkeziyetsiz finans platformu Aave için ciddi bir mali tehdit oluşturdu. Zincirler arası transfer sisteminde keşfedilen bu açık, Aave’nin yaklaşık 230 milyon dolarlık potansiyel kaybına yol açabilir.
Köprü Açığının Kullanımı
Detaylar Aave Labs ve LlamaRisk tarafından yönetim forumunda yayımlanan raporda aktarılıyor. Olay, rsETH adında bir likit yeniden stake token’ı üzerinde yoğunlaşıyor. KelpDAO’nun tanıttığı bu token, köprü sistemi aracılığıyla farklı blokzincirlerde kullanılabiliyor. Sistemin işleyişi, bir zincire kilitli token’ın başka bir zincirde karşılığının çıkarılması prensibine dayanıyor.
Ancak, bir saldırgan transfer isteği sırasında sahte bir mesaj oluşturmayı başardı. Bu sayede, aslında hiçbir token göndermeden rsETH üretimi gerçekleştirdi. Bu yöntemle, Ethereum platformunda köprüde bloke edilmesi gereken 116.500 rsETH serbest bırakıldı.
Saldırganın Etkileri ve Aave’nin Tepkisi
Saldırgandan elde edilen rsETH’yi satmak yerine, bu varlıkların büyük bir kısmı Aave’de teminat olarak gösterildi. Ardından, Ethereum ve Arbitrum ağlarından toplam 190 milyon dolarlık ETH ve çeşitli varlık borç olarak çekildi. Bu durum, Aave’nin kasasında gerçekte olmayan bir teminat stoğu oluşmasına neden oldu.
“Saldırıdan birkaç saat içinde rsETH piyasalarını dondurduk, kredi verme işlemlerini durdurduk ve bu varlık üzerindeki teminat oranlarını sıfıra indirdik.”
Açıklamalara göre, Aave Labs, olayın hemen ardından rsETH işlemlerini tamamen durdurarak ve yeni borçlanmaları kapatarak hızlı bir şekilde riski yönetmeye çalıştı.
Kazanın Potansiyel Sonuçları
En büyük belirsizlik, KelpDAO’nun bu açığı kapatmak için nasıl bir yöntem seçeceğiyle ilgili. Zararın tüm rsETH sahiplerine eşit olarak dağıtılması durumunda, token’in değerinde %15’e varan bir düşüş ve Aave’de 124 milyon dolarlık kötü borç ortaya çıkması bekleniyor. Aksi takdirde, bu zarar Layer 2 çözümlerine yönlendirilirse, Arbitrum ve Mantle gibi ağlarda 230 milyon dolarlık bir kötü borç birikebilir.
Uzmanlar, açığın KelpDAO’nun LayerZero protokolü üzerinden gerçekleştirdiği transfer mesajlarının doğrulaması sırasında yaşandığını belirtiyor. Katmanlar arasındaki mesajlaşmadaki güvenlik eksiklikleri, saldırganın sahte bir varlık yaratmasına ve sistemi reel olmayan fonlar ile manipüle etmesine yol açtı.
Olayın ardından Aave kullanıcıları, platformdan önemli miktarda varlıklarını çekmeye başladılar. Platformun kilitli toplam varlık miktarı bu süreçte yaklaşık 6 milyar dolar azaldı ve bu durum piyasa güveninin sarsıldığının ve risk algısının arttığının göstergesi olarak değerlendiriliyor.
Raporlar, Aave DAO hazinesinde halen 181 milyon dolar değerinde varlık bulunduğunu belirtti. Kayıpların nasıl telafi edileceğine dair ekosistem genelinde süren tartışmalar devam ediyor. Ancak KelpDAO, zararın kullanıcılar arasında nasıl dağıtılacağı konusunda henüz net bir plan sunmadı.
