2026'nın en pahalı DeFi saldırısı, Aave'in kodunda bir hata değil, KelpDAO'nun yeniden yatırılmış ether'ı (rsETH) köprüsüyle başladı. Kredi protokolü, bu hafta yayınlanan resmi olay sonrası incelemesinde, endüstrinin riski nasıl ölçtüğünü yeniden düşünmesi gerektiğini tam olarak savunuyor.
Aave, Nisan ayındaki $230 milyon değerindeki restaked ETH sızıntısıyla ortaya çıkan yeni bir DeFi risk sınıfını ortaya çıkardıktan sonra, V3'te listelenen her varlığın gözden geçirilmesini ve listeleme standartlarının yeniden yazılmasını açıkladı.
Protokolün olay sonrası incelemesi, saldırının Aave'nin akıllı sözleşmelerindeki bir hata yerine, LayerZero köprü doğrulama hatasına, tek bir doğrulayıcının sahte çapraz zincir mesajını onaylayıp 116.500 desteksiz rsETH'i serbest bıraktığına işaret etti.
İlerleyen süreçte, Aave, geleneksel olarak değerlendirdiği finansal ve akıllı sözleşme risklerinin yanı sıra, köprüleri, oracle bağımlılıklarını, muhafazakarları ve operasyonel güvenliği de teminat değerlendirmelerine dahil edecektir.
KelpDAO, kullanıcıların Ethereum'a zaten kilitlenmiş olan ether'lerini alım kazançları elde etmek için kullanıp, diğer protokollerden ek getiri elde etmek için teminat olarak yeniden kullanmalarını sağlayan bir "restaking" hizmetidir. rsETH tokeni, kullanıcıların bu yeniden kilitlenmiş ether'e olan talebini temsil eder. rsETH'yi blok zincirleri arasında taşımak için KelpDAO, bir zincirde çıkarılan bir tokenin başka bir zincirde görünmesini sağlayan, aralarında mesaj geçişini sağlayan bir altyapı olan LayerZero'yu kullanır.
Köprüler, alıcı zincirin eşdeğer tokenleri serbest bırakmadan önce her mesajın gerçek olduğunu doğrulamak için bağımsız doğrulayıcılar kümesine dayanır.
Nisan'daki saldırıda, bu doğrulayıcılardan sadece biri sahte bir mesajı onayladı ve saldırganın arkasında gerçek bir ether olmaksızın alıcı zincirde 116.500 rsETH üretmesine izin verdi.
Bu tokenler daha sonra kullanıcıların koydukları teminat karşılığında kredi çektikleri bir kredi protokolü olan Aave'ye yatırıldı ve rsETH'si değersiz olduğu ortaya çıktığında Aave'in geri alamadığı krediler alınmak için kullanıldı. Aave'in kendi kodu tam olarak tasarlandığı gibi çalıştı. Kabul edilen teminatın sahte olduğu ortaya çıktı çünkü onu sağlayan köprü ele geçirilmişti.
LayerZero, bu ayın başlarında kendi doğrulama sistemini tekil yapıda yüksek değerli varlıkları güvence altına almak için kullanarak bir hata yaptığını "itiraf etti", ancak Aave'in olay sonrası analizi, bu olayı DeFi risk yönetimi üzerinde daha geniş bir yeniden yapılandırma gerekçesi olarak kullanıyor.
Protokol, volatilite, likidite ve akıllı sözleşme denetimlerine odaklanan geleneksel incelemelerin, uygulama kodunun dışındaki köprüler, doğrulama ağları ve diğer altyapılar tarafından yaratılan riskleri yakalayamadığını savunuyor.
Aave, akıllı sözleşme denetimleri ve finansal risk analizlerinin yanı sıra, teminat listelemelerini onaylamadan veya genişletmeden önce köprü altyapısını, oracle bağımlılıklarını, üçüncü taraf sözleşmelerini, emanet düzenlemelerini, operasyonel güvenlik uygulamalarını ve ikincil piyasa likiditesini de değerlendireceğini açıkladı.
Protokol, teminat varlıklarında sorun belirtileri gösterildiğinde daha hızlı tepki vermek için yeni otomatik savunmalar da geliştiriyor. Sonuç analizinde öne sürülen öneriler arasında, önceden tanımlanmış risk eşiği aşıldığında bir varlığın kredi/değer oranını sıfıra düşüren ve kayıpların daha geniş piyasa boyutunda yayılmasından önce kredi alma gücünü kaldıran bir sistem yer alıyor.
Saldırıdan beri Aave, bireysel varlıklara olan maruziyeti sınırlamayı amaçlayan 168 teslimat limiti indirimi ve 66 ödünç alma limiti indirimi de dahil olmak üzere V3 pazarlarında yaklaşık 295 parametre değişikliği gerçekleştirdi.
DeFi protokolleri daha da birbirine bağlandıkça, Aave'in olay sonrası analizi, endüstrinin yalnızca listelendiği varlıkları değil, bu varlıkların bağımlı olduğu altyapıyı da incelemesini gerektirebilir.