Haberler 
Coin Bilgisi 
Hakkımızda 
레이어제로(LayerZero) tabanlı Kelp DAO saldırısı, DeFi piyasasının geneline yayılan bir ‘yapısal risk’ tartışmasını tetikledi. Tek bir doğrulama (validator) noduna bağlı mimari, yaklaşık 1 milyar dolar (yaklaşık 1,47 trilyon won) seviyesinde potansiyel zarara yol açarken, DeFi ekosisteminin güvenlik modeli yeniden masaya yatırılıyor. ‘DeFi’, ‘Kelp DAO’, ‘LayerZero’ ve ‘rsETH’ etrafında oluşan bu kriz, pek çok uzmana göre yalnızca tekil bir saldırı değil, *yapı* kaynaklı bir uyarı niteliğinde.
Saldırı 18 Nisan’da (yerel saatle) gerçekleşti. Saldırgan, LayerZero doğrulama sistemini manipüle ederek herhangi bir teminat göstermeden 116 bin 500 adet rsETH bastı; bu miktar, toplam rsETH arzının yaklaşık %18’ine denk geliyor. Bu durum, akıllı kontrattaki bir *bug* yerine ‘ayar hatası’ kaynaklı bir sorun olarak kayda geçti. Saldırının ardından DeFi genel toplam kilitli varlık (TVL) seviyesi hızla gerileyerek son 1 yılın en düşük bandına indi.
Sorunun merkezinde Kelp DAO’nun tasarım mantığı yer alıyor. Protokol, LayerZero mesaj doğrulamasını yalnızca tek bir node’a bağlayan ‘1-of-1’ modeliyle çalışıyordu. Daha önce siber güvenlik firması Halborn(Halborn), bu yapıyı ‘yapısal zayıflık’ olarak nitelendirip uyarıda bulunmuştu. Saldırıda ise bu risk senaryosu tamamen gerçeğe dönüştü.
Teknik olarak saldırgan, iki RPC node’un kontrolünü ele geçirdi, yedek node’u DDoS saldırısıyla devre dışı bıraktı ve ardından sahte mesajlar enjekte ederek teminatsız rsETH üretti. Üretilen varlıklar daha sonra Aave(AAVE), SparkLend ve Fluid benzeri protokoller üzerinden borçlanma ve takas işlemleriyle dolaşıma sokuldu ve sonuçta Ethereum(ETH) ile Arbitrum(ARB)’a dönüştürüldü. Bazı fon akışlarında gizlilik odaklı Tornado Cash kullanıldığı da zincir üstü verilerde görüldü.
LayerZero tarafı, bu saldırının arkasında Kuzey Kore bağlantılı Lazarus Grubu’nun bir alt kolu olduğu iddia edilen ‘TraderTraitor’ ekibini işaret etti. Ancak ‘kaynak’ seviyesinde bu iddiayı doğrulayan resmi bir açıklama veya düzenleyici kurum teyidi şu aşamada bulunmuyor.
On-chain veriler, piyasa paniğinin boyutunu net biçimde ortaya koyuyor. DeFiLlama verilerine göre, saldırıdan sonraki 48 saat içinde DeFi ekosisteminden yaklaşık 13 milyar dolar (yaklaşık 19,23 trilyon won) çekildi. Böylece DeFi TVL, son 12 ayın taban aralığına indi ve ‘DeFi likiditesi’ başlığında yeni bir kırılganlık tartışmasını tetikledi.
Bu tablo içinde en sert darbe Aave(AAVE) cephesinde görüldü. rsETH piyasasının dondurulması sonrası protokolün TVL’i 26,4 milyar dolardan yaklaşık 18 milyar dolar seviyesine geriledi. Yalnızca Aave’den yaklaşık 8,4 milyar dolar (yaklaşık 12,43 trilyon won) çıkış oldu ve tek bir protokole ilişkin en büyük likidite kayıplarından biri kaydedildi. ‘Aave TVL düşüşü’ ve ‘rsETH kaynaklı risk’ bu dönemde piyasada en çok tartışılan başlıklardan biri haline geldi.
Asıl endişe, ‘bulaşma etkisi’ şeklinde tanımlanan zincirleme risklerde yoğunlaşıyor. rsETH’yi teminat olarak kabul eden borçlanma piyasalarında oluşan açık, doğrudan maruziyeti olmayan protokollere bile yansıdı. Sahte ya da teminatsız üretilmiş varlıkların *collateral* olarak kullanılması, borç pozisyonlarının zincirleme şekilde büyümesine neden oldu ve ‘DeFi kredi piyasası’ genelinde teminat kalitesi sorgulanmaya başladı.
Analiz şirketi Allium, 18’inden sonra yayımladığı değerlendirmede bu saldırının ‘sıfır gün zafiyeti’ değil, tamamen tasarım ve konfigürasyon temelli bir sorun olduğunu vurguladı. Allium’un ifadesiyle, ‘teknoloji normal çalışıyordu, sorun yapılandırma şeklindeydi’. ‘yorum’Bu değerlendirme, güvenlik açığının kod düzeyinden çok yönetişim ve mimari tercihlerden kaynaklandığı görüşünü güçlendiriyor.‘yorum’
Tek doğrulayıcı node’a dayalı yapı, artık açık ve tanımlanmış bir saldırı yüzeyi olarak görülüyor. Bu durum yalnızca Kelp DAO ile sınırlı değil; benzer ‘1-of-1’ veya düşük çoklu imza eşiğine sahip, LayerZero benzeri köprü/mesajlaşma katmanları kullanan diğer *cross-chain* protokoller de aynı risk kategorisine alınıyor. ‘cross-chain güvenliği’, ‘validator merkeziyeti’ ve ‘mesaj geçiş protokollerinin ayarları’ bundan sonraki denetimlerde daha yakından incelenmesi beklenen alanlar arasında sayılıyor.
Piyasa şu anda iki kritik sorunun cevabına odaklanmış durumda: Kelp DAO’nun detaylı adli analiz (forensic) raporu ve olası tazmin / geri ödeme planı ile Aave’nin bu süreçte oluşan ‘tahsil edilemeyen alacak’ (bad debt) pozisyonlarını nasıl yöneteceği. Bu iki başlık, DeFi risk iştahı ve ‘TVL toparlanması’ açısından belirleyici olacak. Kayıpların önemli bir kısmı telafi edilir ve borçluluk dengesi kontrollü biçimde yeniden yapılandırılırsa, mevcut şokun yayılımı sınırlı kalabilir. Aksi senaryoda, DeFi TVL üzerinde yeni bir aşağı yönlü baskı dalgası oluşabileceği ifade ediliyor.
Sonuç olarak, Kelp DAO–LayerZero olayı, DeFi büyümesinin gölgede kalan tarafında biriken ‘yapısal riskleri’ gün yüzüne çıkardı. Basit bir ‘hack vakası’ olmaktan çok, ‘güven modeli’ ve ‘altyapı tasarımı’ odağında köklü bir yeniden değerlendirme gerekliliğini işaret ediyor. ‘DeFi güvenliği’, ‘TVL sürdürülebilirliği’ ve ‘merkeziyetsizlik derecesi’ önümüzdeki dönemde yatırımcılar ve geliştiriciler açısından kaçınılmaz tartışma başlıkları olacak gibi görünüyor.
Yorum 0