Ana Sayfa
Haberler
Detaylar

Aave Saldırısında LayerZero İstismarı Yoluyla 116.500 rsETH Çalındı

iconMetaEra
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2.342,94-%1,29
This is the logo of the coin.
AAVE
$92,391-%0,39
AI summary iconÖzet

expand icon
LayerZero'ın çapraz zincir mesajlaşma protokolünü hedef alan bir DeFi istismarı, 116.500 rsETH'in sahte olarak üretildiği ve Aave üzerinde WETH ödünç alınmak için teminat olarak kullanıldığı bir kripto hırsızlığına yol açtı. Olay, kötü borç krizine neden oldu ve Aave, Ethereum, Arbitrum, Base, Mantle ve Linea'da piyasaları dondurmaya zorlandı. Saldırı, çapraz zincir köprüleri ve LRT'lerdeki riskleri vurgularken Morpho'nun izole piyasa tasarımı daha iyi performans gösterdi. Fluid Protocol, Aave kullanıcıları için bir aWETH iade programı başlatarak tepki verdi.
Tüm kredi pazarının likiditesi anında tıkanmıştır.

Yazan: 0x9999in1, ME News

TL;DR

  • Nitelik: 2026'nın başındaki en büyük siyah tüy. Saldırgan, LayerZero arakesit mesajlarını sıfır maliyetle sahteleyerek 116.500 rsETH çaldı. Bu sadece bir kod açığı değil, arakesit güven mekanizmasının tamamen çöküşüdür.
  • Sürekli avlanma: Hacker'ın hedefi rsETH değil, Aave'deki gerçek para. "Hava belgesi"ni teminat olarak kullanarak devasa miktarda WETH kiralıyor. Aave'e kalan, büyük bir teminatsız kredi kaybı kuyruğu.
  • Morpho'nun "tamamen izole pazar" modeli, yalnızca 1 milyon dolarlık çok düşük marjinal marjla mükemmel bir şekilde sınavı geçti; Aave'ın "küresel likidite" modeli ise tamamen dondurulmak zorunda kaldı ve sistemik zayıflıkları ortaya çıkardı.
  • Yanlış Zamanı Kullanma ve Kendini Kurtarma: Fluid, aWETH iade protokolünü hızla çıkararak Aave'nin zarar gören kullanıcılarını hedef alarak likidite emici saldırılarının klasik bir örneğini sergiledi.
  • Temel Yansıma: LRT (likidite yeniden质押) ve çapraz zincir köprüleri (OFT) birlikte, DeFi dünyasında "zehirli varlık türevleri" yaratıyor. Lego ne kadar yüksek inşa edilirse, o kadar çatlak kırılır. Krizden sonra, çapraz zincir standartlarının yeniden yapılandırılması kaçınılmaz hale geldi.

Korku Veren Hafta Sonu: Uyarı Sesi Karanlık Web'de Yankılanıyor

Sermaye asla uyumaz. Hackerlar da öyle.

Zaten hassas bir para basma makinesi gibi sessizce blokları işleyen Cumartesi günkü Ethereum ağı, tuhaf bir işlem kaydıyla aniden bu sükûneti parçaladı. 116.500 rsETH. Bu küçük bir miktar değil. Bu astronomik bir rakam.

Bu kimin parası? Kelp DAO kullanıcılarının likidite yeniden质押 kan ve teri.

Neden kayboldu? Çünkü LayerZero çapraz zincir köprüsünün iletişim protokolü "aldatıldı".

Bir çakma banka senedini elinde tutan biri, yüz ifadesi değişmeden bir ton altın alıp gidiyor; bir çakırcı dükkanının sahibi olduğunuzu hayal edin. İşte hafta sonu yaşanan şey buydu. Hakerler kasa kırma yapmadı, akıllı sözleşmenin temel matematiksel mantığını kırma fırsatı bulmadı. Daha akıllıca ve daha ölümcül bir şey yaptılar: LayerZero’un çapraz zincir mesajlarını sahtelediler.

Mesaj şöyle diyor: "O zincirde para yatırdım, sen bu zincirde bana kredi ver."

Köprü sözleşmesi inandı. Kapıyı nazikçe açtı.

116.500 adet rsETH, bu şekilde hakerin cebine geçti. Bu, 2026 yılına kadar yaşanan en büyük DeFi hakerlik olayı. Ancak dikkat edin, bu sadece bir kâbusun başlangıcı. Hakerin amacı, güçlü işsel bağımlılığa sahip bu türev token olan rsETH değil. Hakerin istediği sert para birimi. Hakerin istediği WETH.

Bu nedenle, av tüfeğinin nişanı, DeFi dünyasının en büyük merkezi bankası olan Aave'ye yöneltildi.

Ölümcül zincirleme plan: Aave ve "Ruhşatlı Teminat"

Hacker'ın mantık zinciri korkutucu kadar net.

Birinci adım, hava yaratın. Çapraz zincir köprüsü açıklığını kullanarak rsETH’i hayal edin.

İkinci adım, hava satışı yapın. Alt yapı varlığı olmayan bu “ruh rsETH”leri Aave’e yatırın.

Üçüncü adım: Kanı boşaltın. rsETH'yi teminat olarak kullanarak WETH'yi kiralayın.

Aave'in akıllı sözleşmesi matematik biliyor, ancak insan kalbini anlamıyor ve çapraz zincir köprülerinin ardındaki gizli işlemleri bile bilmiyor. Aave'in fiyat veri kaynağına göre, rsETH'in fiyatı hâlâ Ethereum'a bağlı. Teminat oranı sağlıklı. Kredi ver. Kredi ver. Devam et kredi ver.

Pat. Bina çökecek.

Kelp DAO ve LayerZero fark ettiğinde, her şey geçti. Aave'nin kasanında, değersiz bu “ruh rsETH”ler yığılmıştı. Gerçek kullanıcılara ait beyaz WETH'ler ise hırsızlar tarafından tamamen çalınmıştı.

Bu ne? Geleneksel finansta bunu sistemik kötü borç olarak adlandırırlar. DeFi'de ise bunu ölümsüz spiralın başlangıcı olarak tanımlarlar.

Aave'nin tepkisi hızla geldi. Buzlanma. Tümü buzlandı. Ethereum, Arbitrum, Base, Mantle, Linea. V3 veya V4 versiyonu olmasından bağımsız olarak, tüm etkilenen pazarlardaki WETH rezervleri ve rsETH varlıkları durduruldu. Aave resmi olarak “ana ağdaki rsETH tamamen teminatlıdır” diyor, ancak bu ifade şu anda boş görünüyor. Ana ağdaki rsETH gerçekten teminatlı, ancak açıkları kullanarak çapraz zincirle üretilen rsETH'ler ne olacak? Çekilen WETH'in bıraktığı boşlukları kim dolduracak?

Aave, "Şrödinger'in kötü borç" durumuna zorlandı. Kapsamlı bir denetim ve fonların geri alınması kadar, bu kara deliğin tam olarak ne kadar büyük olduğu bilinmiyor. DeFi legolarının en temel taşı olan Aave'nin dondurulması, tüm kira piyasasının likiditesini anında kalp krizine uğrattı.

İzole Havuz ve Zincirleme Patlamalar: DeFi'nin Çeşitli Yüzleri

Suyun çekilirken, sadece kimlerin çıplak yüzdüğünü görebilirsiniz, aynı zamanda kimin su geçirmez bölümlere sahip gemi yaptığını da görebilirsiniz.

rsETH olayı, DeFi protokollerinin risk yönetimi mimarilerindeki büyük farkları ortaya çıkaran bir derin su mayını gibidir. Ani gelen çapraz zincir zehirli varlıklar karşısında, her protokolün performansı, korkutucu bir finansal hayatta kalma ders kitabıdır.

Bu protokollerin kartlarını açmak için bir tablo kullanalım.

Anladınız mı? İşte DeFi'nin ikinci yarısının oyun kuralları.

Morpho'nun Zaferi: Morpho, neden güvenli olduğunu iddia ediyor? Çünkü "herkes için aynı çanağı" kullanmıyor. Aave'in modeli, tüm fonları tek bir büyük havuza döküyor; bir varlık çökerse, tüm havuzun fonları kredi zararlarını kapatmak için kullanılabilir. Morpho ise "Tamamen İzole Pazar Tasarımı"nı kullanıyor. Sen zehirli misin? Kötüleşen fonların hepsi kendi küçük havuzunda kalır, benim ana yolum açık kalır. Morpho için sadece 1 milyon dolarlık maruziyet, deri yaralanması bile sayılmaz. Bu, mekanizma tasarımı açısından bir üstünlüktür.

Fluid'in stratejisi: Tüm protokoller savunmaya geçerken, Fluid bıçağını çekti. aWETH iade protokolünü tanıttılar. Bu ne bir işlem? Aave'in yarasına tuz basmak ve aynı zamanda kendi kanını emmek. Aave'deki ETH'niz dondu ve alınamıyor? Sorun değil, Fluid sizin için ödeme yapar. Borcunuzu bize devirin, hemen wstETH veya weETH ile değiştirip likiditenizi serbest bırakın. 1 milyar dolarlık başlangıç kapasitesi, Aave kullanıcılarına doğrudan şöyle diyor: "Karanlıktan ışığa geçin!" Bu saf bir ticari savaş: soğuk, verimli ve tam olarak noktayı vuruyor.

Reserve'in alt sınırı: Reserve'in tepkisi, yapılandırılmış finansın cazibesini gösteriyor. Aşırı durumlarla karşılaşılsa bile, DTF sahipleri neredeyse etkilenmiyor. Neden? Çünkü RSR stake edenleri “ilk kayıp sermaye” olarak tasarladılar. Bu, finansal sistemin tamponu gibidir; çarpmada önce tampon kırılır, kabin korunur.

Polygon, EtherFi, Maple gibi protokollerin açıklamaları, daha çok kendi ekosistemlerindeki likidite sağlayıcıları (LP) yatırımcıları rahatlatmak amacıyla yapılan bir “durum bildirimi”公关 eylemidir.

Zehirin kaynağı: LRT çöp kutusu ve çapraz zincir köprüsünün ölümcül buluşması

Bu olayı sadece sıradan bir hacker saldırısı olarak görmeniz çok masumca. Temelde, bu, "aşırı finansallaşma" nedeniyle kaçınılmaz bir çöküştür.

Odak noktamız olayın ana karakteri olan rsETH olsun.

rsETH nedir? Kelp DAO tarafından yayınlanan bir likidite yeniden质押 tokendir.

Bu şey kendisi bir rus çiçeği. Kullanıcı, ETH'yi Ethereum ağına kilitler ve bir LST (örneğin stETH) alır. Ardından LST'yi EigenLayer gibi protokollere kilitler ve bir LRT (örneğin rsETH) elde eder.

Neden bu kadar zorluk çekiyoruz? Kazanç için. Ethereum'un son faizini sıkmak için.

Bu kendisi yanlış değil. Sermaye kar aramak doğasındadır. Ancak sorun bir sonraki adımda: çapraz zincir.

DeFi'nin çok zincirli yapısının sertleşmesi nedeniyle, Kelp DAO rsETH'in tüm L2'lerde dolaşabilmesi için LayerZero'un OFT (Çapraz Zincir Eşdeğer Token) standardını entegre etti.

Şimdi iyi oldu. Daha önce Ethereum ana ağındaki sıkı uzlaşım tarafından korunan varlıkların güvenliği, çapraz zincir köprülerinin güvenliğine düşürüldü.

Gözlemlediniz mi? Uzun bir kaldıraç zincirinde, sadece bir halka koparsa, tüm sistem çöker.

Köprüler, DeFi'nin her zaman Achilles' topuğu olmuştur. 2022'deki Ronin büyük hırsızlığından (625 milyon dolar), PolyNetwork'e ve Wormhole'e kadar, tarih, milyarlarca dolarlık varlık kayıtlarını, birbirine güvenmeyen iki blok zinciri arasında bir üçüncü taraf düğüm grubu (relayer/orak) aracılığıyla iletmek için son kez son derece tehlikeli bir şey olduğunu kanıtlamıştır.

LayerZero, "güvenlik açıkları olayını tamamen anladığını ve KelpDAO ile aktif olarak düzeltme çalışması yaptığını" iddia ediyor. Ancak bu açıklamaları çok sık duyduk. Bir güvenlik açığı düzeltildiğinde, mimarinin karmaşıklığı mutlaka bir sonraki açığı doğuracaktır. Çapraz zincir mesajları sahteleştirilebiliyorsa, OFT standardı rastgele doldurulabilen bir boş çek olur.

Son: Kim ödeyecek?

Durum böyle, her şey dağılmış.

116.500 rsETH boşluğu, kim dolduracak?

Kelp DAO kasesi kendi parasıyla mı ödüyor? LayerZero zararla mı pazarlık yapıyor? Yoksa Aave yönetim tokeni sahipleri, kötü borçları kapatmak için haklarını zorunlu olarak seyreltmiyor mu? Veya sonunda, sadece birkaç APY kazanmak isteyip fonlarını havuzda bırakan masum sıradan kullanıcılar mı zarar görecektir?

Kimse aptal olmak istemez. Ancak oyunun sonunda, her zaman birinin kan akacaktır.

Bu fırtına bize ne bıraktı?

DeFi'nin karanlık ormanında "büyüklük kurtarıcı değildir" diye kanlı bir şekilde ilan ediyor. Aave'in küresel likidite modeli, uç kuyruk riskleri karşısında çok ağırdır; Morpho'nun izole havuz kavramı ise belki de bir sonraki döngünün doğru cevabıdır.

Ayrıca likidite yeniden质押 (LRT)’in örtüsünü de çekti. Katmanlı bloklar biriktirmeye ve kendi kendine yaratılmış kaldırmalı getirilere takıldık, ancak temeldeki temelin zaten delik delik olduğunu gözden kaçırdık. Çapraz zincir riski taşıyan LRT'lerin üst düzey mavi çekirdek kredi protokolleri için teminat olarak kabul edilmesiyle bu zamanlı bomba zaten yerleştirildi.

Güneşin altında yeni bir şey yoktur. Kod yasadır, ancak yasaların her zaman boşlukları vardır.

Bu katmanlı finansal kaplamayı aşarak, her şeyin insani açgözlülük ile teknolojinin eksikliği arasında süresiz bir kedi fare oyunu olduğunu göreceksiniz.

Bir sonraki el, kartlar dağıtılmaya başlandı. Sen, hâlâ masada mısın?

Kaynak:

  1. Aave Yönetim Forumu. (2026). "Olay Güncellemesi: rsETH Piyasasının Dondurulması ve Kötü Borç Değerlendirmesi."
  2. Fluid Protocol Resmi Blogu. (2026). "aWETH'nin Tanıtımı: ETH Kira Verenler İçin Likidite İadesi."
  3. Morpho Labs Güvenlik Yayınları. (2026). "Olay Sonrası Analiz: İzole Piyasalar, Morpho'yu rsETH Saldırısından Nasıl Korudu?"
  4. LayerZero İletişimleri. (2026). "Kelp DAO rsETH Saldırısına ve OFT Güvenlik Güncellemelerine Yanıt."
  5. Reserve Protocol Dokümanları. (2026). "DTF Mekaniklerinde İlk Kayıp Sermayeyi Anlamak."
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.