Hafta sonu yaklaşık 292 milyon dolarlık bir sızıntı, dezentralize finans (DeFi) altyapısındaki zayıf noktaları ortaya çıkararak kredi protokollerindeki etki zinciri endişelerini artırdı.
Soruşturmalar hâlâ devam ederken yapılan erken analizler, saldırganlığın, varlık taşıma mekanizmasının yanı sıra Kelp’in rsETH tokenine — ki bu, ether (ETH)’in getiri sağlayan bir versiyonudur — odaklandığını göstermektedir.
Saldırgan, bu sistemi manipüle ederek uygun temel olmadan büyük miktarlarda token oluşturmuş ve ardından bu tokenları hemen teminat olarak kullanarak kredi piyasalarından gerçek varlıkları çekip çıkarmıştır; bu işlem çoğunlukla Aave AAVE$90.11 üzerinden gerçekleştirilmiştir, bu da en büyük merkeziyetsiz kripto kredi vericisidir.
Olay, Solana tabanlı protokol Drift'in 285 milyon dolarlık sızıntısından sadece birkaç hafta sonra gerçekleşerek, neredeyse 90 milyar dolarlık kripto sektöründeki yatırımcı güvenini daha da zedeledi.
Genel düzeyde, istismar, farklı blok zincirleri arasında varlıkların taşınmasını sağlayan bir LayerZero köprü bileşenini hedef aldı, donanım cüzdan üreticisi Ledger'in CTO'su Charles Guillemet, CoinDesk'e bir notta belirtti.
Köprüler genellikle varlıkları bir zincirde kilitleyerek başka bir zincirde eşdeğer tokenler çıkarmak suretiyle çalışır. Bu süreç, yatırımları doğrulamak için güvenilir bir varlık — genellikle orak veya doğrulayıcı olarak adlandırılan — üzerine dayanır.
Bu durumda, Kelp etkili bir şekilde doğrulayıcı olarak hareket etti. Guillemet'e göre, sistem tek imzalı bir yapıya dayanıyordu, yani yalnızca bir varlık herhangi bir işlemi onaylayabiliyordu.
"Saldırganın büyük miktar rsETH üretmesine izin veren bir mesaj imzalayabildiği görünüyor," dedi. Bu erişimin nasıl sağlandığının hâlâ belirsiz kaldığını ekledi.
Curve Finance'in kurucusu Michael Egorov, sistemin yapılandırmasındaki aynı zayıflığa işaret etti.
Tek bir tarafa güvenildiğinde şeyler olabilir — kim olursa olsun.
Bu yapılandırma, saldırganın kaynak zincirde karşılık gelen varlıkların kilitlenmesine rağmen desteksiz tokenlar oluşturmasını sağladı.
Mint edildikten sonra tokenler hemen dağıtıldı. Saldırgan, "gerçek ETH almak için çoğunlukla Aave gibi kira protokollerine hemen yatırdı," diye açıkladı Guillemet.
Bu hareket, sorunu tek bir istismardan daha geniş bir piyasa sorununa dönüştürdü. DeFi kredi platformları şimdi geri çekmesi zor olabilecek teminatları elinde tutarken, değerli ve likit varlıklar zaten tükendi.
"Aave, gerçekten satılamayan rsETH ve maksimum ödünç alınan ETH ile kaldı, bu nedenle kimse ETH çekemiyor," dedi Curve'un Egorov.
O, Aave ve diğer kredi protokollerinin yüzlerce milyon dolarlık şüpheli teminat ve kötü borç üzerinde oturabileceğini uyarıarak, kullanıcıların fonları çekmeye çalışması nedeniyle olası bir "banka koşturması" dinamikleri endişelerini dile getirdi.
Kullanıcılar olaydan sonra varlıklarını çektiğinde, Aave protokolünde yaklaşık 6 milyar dolarlık bir düşüş yaşandı. Protokole ait token son 24 saatlik işlem sırasında yaklaşık %15 düştü.
Doğrulayıcının nasıl tehlikeye girdiği hakkında hala önemli sorular var. Sistem, LayerZero'nun resmi node'una dayanıyordu; bu, node'un hacklendiği, yanlış yapılandırıldığı mı yoksa yanıltıldığı mı konusunda belirsizlik yaratıyor.
“Sızıldı mı? Aldatıldı mı? Bilmiyoruz,” dedi Egorov.
Saldırganın kimliği bilinmiyor, ancak Guillemet, saldırganın ölçeğinin karmaşık bir aktörün işaretini taşıdığını söyledi.
“Açıkça bazı script çocukları değil,” dedi.
Hemen kayıpların ötesinde, bu olay, DeFi'nin daha da birbirine bağlı hale gelmesiyle bir katmandaki hataların sistemin tamamına hızla yayabileceğini yeniden hatırlatmaktadır.
Egorov, varlıkların havuzlar arasında riski paylaştığı izole edilmemiş kira modellerinin bu tür olayların etkisini artırdığını savundu.
Ayrıca, yeni varlıkların kira platformlarına nasıl entegre edildiği konusundaki eksikliklere işaret ederek, Kelp'in 1-of-1 doğrulayıcı yapılandırmasının daha erken fark edilmesi gerektiğini söyledi.
Ancak Egorov, bu durumda bir umut ışığı olduğunu söyledi. "Kripto, hiçbir bankanın hayatta kalamayacağı sert bir ortam — ancak biz bununla çalışıyoruz," dedi. "DeFi'nin bu olaydan ders çıkarıp daha güçlü hale geleceğini düşünüyorum."
Yine de, bu tür olaylar protokol yükseltmelerine ve yeniden tasarımlara yol açarken, daha geniş DeFi sektöründeki yatırımcı güvenini de zayıflatıyor.
“Toplamda, DeFi protokollerine olan güven bu tür bir olayla zayıflıyor,” dedi Guillemet.
Ve 2026 yılının yine en kötü hileler yılı olma olasılığı yüksek," diye ekledi.
Daha fazlasını okuyun: 'DeFi ölü': Bu yılın en büyük hack'i bulaşma risklerini ortaya çıkardıktan sonra kripto topluluğu panikledi