Uzun Analiz: Aave Güvenlik Olayının Sektör Üzerindeki Etkileri Sonuçlar öncelikli olarak: 1. L2 güvenliği narratifi çöktü. Daha önce ana zincirle aynı düzeyde güvenli olduğu iddia ediliyordu; şimdi ise L2’deki rsETH’in fedakâr edilmesi kaçınılmaz hale geldi. 2. ETH’in tüm restake narratifleri tamamen çöktü. EigenLayer’in katmanlı karmaşık yapıları üzerinden, kullanıcılar elde edilen getirilerin (yani güvenlik düğümü olarak AVS’ye stake etmek) bu katmanların getirdiği risklerden daha düşük olduğunu anladı. 3. DeFi çöktü. Tamamen bitmedi, ancak büyük ölçüde küçülmesi kaçınılmaz. Çünkü kullanıcılar, zincir üstü güvenlik sorunlarının kaçınılmaz olduğunu fark etti; ayrıca kayıplar yaşandığında platformlar kolayca elini süpürerek kaybolabiliyor (klasik temsilci riski). 4. Bu olayda kesinlikle kullanıcı kayıpları oldu. Çünkü Kelp yoksul bir proje ve ödeme yapamaz. --------------------------------------------------------- Detaylı süreçlere girmeyeceğiz; diğerleri zaten oldukça iyi analiz etmişler. Özetle, Kuzey Koreli hackerlar Kelp’i ele geçirdi, ardından LayerZero üzerinden L2’de hava para bastı ve Aave’nin kuyruğunu boşalttı. Şu anda Kelp, LayerZero ve Aave üçlüsü sorumlulukları nasıl bölecekleri konusunda birbirleriyle çekişiyor. 1. L2 Güvenlik Narratifi Daha önceki tüm L2’ler — Optimistic Rollup ya da ZK Rollup — temelde Ethereum ana zinciriyle aynı güvenlik seviyesine sahip olduğunu iddia ediyordu. Sıkıntının doğrudan L2’nin konsensüs mekanizması ya da sıralayıcısının ele geçirilmesinden kaynaklandığı değil; ancak kullanıcılar alt yapıda köprü mü yoksa L2 mi çöktü diye ilgilenmez. Sonuç: L2’de basılan rsETH hava para haline geldi, ana zincir ise köprüden geçmediği için kurtuldu. Aave’in resmi yanıtında “ana zincirdeki rsETH tamamen desteklenmektedir” deniyor ve aynı zamanda Arbitrum, Base, Mantle, Linea gibi tüm L2 pazarlarındaki WETH ve rsETH’ler donduruldu. Yani ana zincir kullanıcıları ile L2 kullanıcıları eşit değil; L2 kullanıcıları ikinci sınıf vatandaş haline geldi https://t.co/14aPSMvLlJ 2. ETH’in Tüm Restake Narratifleri Tamamen Çöktü EigenLayer’in güvenlik doğrulama hizmeti AVS: İki yıl geçti ama hâlâ karlı bir iş modeli ortaya çıkmadı. Evet, EigenLayer resmi olarak ne kadar gelir elde ettiğini söylüyor; ancak dikkatle bakıldığında bu gelirlerin çoğu Eigen token’larının sübvansiyonlarından kaynaklanıyor — Filecoin gibi, sesli vaatlerle dolu ama uygulama alanı çok sınırlı… Sonuçta sadece token satmak kalıyor. (Bana 4 milyon dolarlık Eigen token’ı ver, iki yıl sonra kilitlenir; sen de 1 milyon dolarlık EigenLayer hizmetini satın al.) Kullanıcılar için Kelp olayı ortaya çıktığında, ekstra %2 stake getirisinin riskten daha düşük olduğu anlaşıldı. Çünkü katman sayısı arttıkça, sorun çıkma olasılığı da artar. Aşırı durumlarda getiri doğrusalken, risk üstel olarak artar. 3. DeFi Çöktü Web3’ün “izin verilmemiş” (permissionless) yapısı sadece hayalde yaşayabilir. Çok sayıda temel sorun çözülemez. Çoğu DeFi protokolü aslında “çoklu imzalı cüzdan tarafından kontrol edilen kod”tur. 1) Hızlılık vs Güvenlik Bu çözümsüz bir çelişkidir. Neden geleneksel banka transferleri pahalı ve yavaş? Çünkü güvenlik için çeşitli risk kontrol ve onay mekanizmaları gereklidir. (Kimse banka hesabındaki paranın çalındığını duymadı mı?) Peki DeFi’de bunu nasıl yapacaksınız? Risk kontrol mantığını akıllı sözleşmelere yazıp herkesin incelemesine mi açacaksınız? 2) İzinsizlik vs Para Aklama Önleme Risk kontrol gibi, para aklama kuralları ve denetimleri insanlar tarafından belirlenir ve tetiklenebilir kurallara sahiptir. Hem izinsiz hem de para aklama önleme mümkün değildir. Hatta AI ile denetim yapılırsa bile, AI kuralları yine insanlar tarafından tanımlanır. Tabii DeFi’nin para aklama önleme gerektirmeyeceğini söyleyebilirsiniz; ancak açıkçası çoğu ülke kabul etmeyecektir. Şu anda sadece size biraz nefes alanı bırakılıyor. 21. yüzyılda finansal işlemler para aklama önlemeden kaçamaz; sadece zaman meselesi. 3) İnsan faktörü asla ortadan kaldırılamaz Çoğu DeFi protokolü aslında “çoklu imzalı cüzdan tarafından kontrol edilen kod”tur; neden? Çünkü: a) Kredi verme protokollerinde, yeni varlıkların eklenmesi, kredi parametreleri, oracle ayarları hepsi insanlar tarafından ayarlanabilir ve değiştirilebilir. b) Protokollerin çoğu yükseltilebilirdir; özel anahtar çalındığında Drift gibi tamamen kaybedilebilir. c) Ön uç web sitesi ekip tarafından kontrol edilir. Örneğin @pendle_fi, @Morpho gibi tüm DeFi protokolleri belirli bir pazarı kaldırmak, gizlemek veya riskli olarak işaretleyebilir. Geliştiricilerin cihazları ele geçirilebilir, tedarik zinciri zehirlenebilir, domain saldırılarına maruz kalabilir (dün CoW Swap domain saldırısı). Tamamen web3, ideal bir DeFi protokolü var mı? Düşündüğüm tek örnek Tornado Cash; sonucunu hepimiz biliyoruz. Eğer bu DeFi’nin geleceğiysa, benim söyleyecek başka bir şeyim yok. 4) Mesleki Temsilci Riski Uyumsuzluğu Web3 protokollerine yapılan saldırıda geliştiriciler ve yöneticilerin taşıdığı kayıp çok sınırlıdır; cezai sorumluluk ise neredeyse hiç yoktur. En tipik örnek: @arc — Circle’in (USDC’nin ana şirketi) çıkardığı L1 zinciri — beyaz şapkalı hackerlara en yüksek seviyedeki hata raporları için ne kadar ödül veriyor? : 5.000 dolar. https://t.co/OJ0Zo6KynS En yüksek seviyedeki bir hata milyarlarca dolarlık kayba neden olabilirken, sadece 5K USD ödül vermek normal bir zihniyetle düşünülemez. Neden? Çünkü beyaz şapkalılara verilen ödül kendi cüzdanından ödeniyor; saldırı sonucu kayıp yaşayanlar ise başkaları. Geleneksel finans sektöruna bakalım: bankalar ve tahvil şirketleri. - Gerçekten para çalındığında ilgili yöneticiler ihmal suçundan hapis cezası alabilir. - Seviye 3/4 koruma… Finansal verileri 5 seviyeye ayırır ve her seviye için farklı koruma yöntemleri belirler. Kritik muhasebe verileri düzenli olarak fiziksel manyetik bantlara veya çevrimdışı optik disklere aktarılır ve uzak yerlere saklanır… DeFi ise? Hiçbir kural yoktur; tamamen protokolün kendi itina seviyesine bırakılmıştır. Sonuçta DeFi’nin döngüsü sonunda hep CeDefi’ye dönüldüğü anlaşıldı.Kazanç elde ederken xxx Lab para alıyor, zarar ederken biz DeFi'yi yapıyoruz, DYOR yapmadınız. Evet, DeFi protokolleri zaman kilidi, çeşitli risk kontrolü, denetim gecikmesi, para aklama önlemleri ve hatta KYC (eninde sonunda olacak) ekleyebilir. Sonra biraz süslenip bakılıyor ki sonunda gittikçe geleneksel finansa dönüşüyor. (Öte yandan, üç günde bir hırsızlığa uğrayan bir endüstride kurumsal yatırımcılar neredeyse gelmez. Bu yüzden kurumsal RWA hikayesini hayal etmeyin.) Web3 hikayesine inanmak, komünizmin gerçekleşeceğine inanmaktan daha mantıklı değil. 4. Bu olayda kesinlikle kullanıcı kayıpları olacaktır. Endüstri genelinde en az 40% sorumluluk Kelp'e aittir. Aave ve LayerZero belki kısmen tazminat verecek, ancak Kelp’in payını üstlenmeyecekler. Kelp ekibi çok yoksul; rsETH’in değerinden sapma anında kendi kendine arbitraj yapmış, diğer kullanıcıların çekimlerini engellemiş, yani kullanıcılarla sinek etini paylaşmış. Şu anki duruma göre Kelp, protokolü kapatma veya iflas ilan etme ihtimali yüksek; o kadar para var, eğer isterseniz mahkemeye gidin. Yani en azından Kelp’in kendi sorumluluğu kısmında kullanıcılar kayıpları taşıyacak. Ayrıca bazıları孙割 (Sun Ge) ve CZ gibi kişilere çağrıda bulunup kahraman gibi gelmelerini istiyorlar... Belki henüz uyanmamışlardır. Daha önce Tether’in Drift’e kredi vermesi de bir saptırma idi; birkaç gün içinde tazminat planı ortaya çıkacak, bunu daha önce yazmıştım. Özetle: Bu olay L2 hikayesini, Restaking hikayesini ve DeFi güvenini aynı anda vurdu — “hikaye üçlü saldırısı” olarak adlandırılabilir. Sonraki dönemde insanlar 2026’nın Nisan ayını Web3 veya DeFi’nin “Kara Nisan” olarak adlandırabilir (ve Nisan ayı henüz 10 gün daha devam ediyor..). Size önerim şu: Şu anda DeFi’ye girmeyin, paranızı borsada faiz kazandırmaya bırakın.