Haberler 
Coin Bilgisi 
Hakkımızda 
디파i(DeFi) sektöründe 28,9 milyon dolarlık Kelp DAO saldırısı sonrası ‘sorumluluktan kaçış’ tartışması yeniden alevleniyor. Olayın ardından zarar tazmini ve güvenlik sorumluluğu konusunda Kelp DAO, LayerZero ve AAVE farklı açıklamalar yaparken, *DeFi güvenliği* ve *sorumluluk paylaşımı* konusundaki ‘rahatsız edici gerçekler’ gün yüzüne çıkmış durumda.
13’ünde (yerel saatle), Protos’a göre, mesele yalnızca klasik bir *DeFi hack* vakası değil. Asıl sorun, DeFi altyapısındaki yapısal zafiyetlerin tüm çıplaklığıyla ortaya çıkması. LayerZero tarafı, Kelp DAO’nun doğrulayıcı (validator) ayarlarını yanlış seçtiğini savunurken, Kelp DAO ise sadece LayerZero’nun sunduğu *varsayılan ayarları* kullandığını belirtiyor. AAVE, doğrudan saldırıya uğramamış olsa da rsETH ile kurduğu derin entegrasyon nedeniyle, saldırıya zemin hazırlayan ekosistemi büyüttüğü için ‘dolaylı sorumluluk’ eleştirileriyle karşı karşıya.
Kelp DAO, saldırının ardından 48 saat boyunca sessiz kaldı. Bu süre boyunca yatırımcılar ve kullanıcılar, ne zararın boyutuna ne de tazmin sürecine dair net bir bilgi alabildi. Şirketin daha sonra yayınladığı kısa açıklamada da ‘kayıpların nasıl paylaşılacağı’ konusunda somut bir plan yer almadı; yalnızca saldırı yöntemi ve yeni saldırıların engellendiği bilgisi paylaşıldı. “İlerleyen dönemde atılacak adımlar değerlendiriliyor” ifadesiyle yetinilmesi, özellikle *tazminat planı* bekleyen mağdurlar arasında tepki topladı.
Kelp DAO ayrıca, Arbitrum(ARB) ekibinin çalınan Ethereum(ETH) varlıkları dondurduğu önceki bir vakayı örnek göstererek, farklı seçenekleri değerlendirdiklerini duyurdu. Ancak piyasada bu açıklama, ‘sorumluluğu zamana yayma’ ve net bir taahhütten kaçınma eğilimi olarak okunuyor. Zararın büyüklüğü göz önüne alındığında, kaybın kimler arasında ve hangi formülle paylaştırılacağı, *DeFi sektöründe tazminat ve sorumluluk* konusunda önemli bir ilk sınav olacak yorum.
LayerZero cephesinde ise ‘varsayılan güvenlik ayarları’ tartışması öne çıkıyor. Protokol, güvenlik mimarisini projelerin kendi tercihlerine bıraktığını, varlık ihraççılarına daha güvenli yapılandırmalar önerdiklerini savunuyor. Buna karşın, 2500’ü aşkın köprü (bridge) sözleşmesinin önemli bir kısmının 1/1 DVN yapılandırması ile çalıştığı biliniyor. Güvenlik uzmanları, bu durumu “fiilen zayıf bir *varsayılan güvenlik modeli*ni serbest bırakmak” şeklinde yorumluyor ve LayerZero’nun sorumluluğunun sandığından daha yüksek olduğunu öne sürüyor.
Saldırının ardından Ethena(ENA), EtherFi, Wrapped Bitcoin(WBTC), Tron(TRX), Curve gibi birçok proje, LayerZero üzerinden yürütülen varlık köprüleme işlemlerini durdurdu. Saldırı vektörüne ilişkin detaylı ve teknik bir açıklamanın hâlâ gelmemiş olması da *DeFi güvenliği* konusundaki güvensizliği artırıyor. ‘Dağıtık’ ve ‘merkezsiz’ yapıların, güvenlik riskini gerçekten dağıtıp dağıtmadığı, yoksa sorumluluğu belirsizleştirerek kullanıcıları mı korumasız bıraktığı sorusu yeniden gündemde.
AAVE tarafı, yüzeyde bakıldığında saldırıdan en uzaktaki aktör gibi görünüyor. Ancak piyasa katılımcılarının bakış açısı farklı. AAVE, rsETH’yi teminat olarak kullanmaya imkân tanıyan yapı sayesinde yüksek kaldıraçlı pozisyonlara kapı açtı. Bu süreçte rsETH’nin likiditesi ve diğer protokollerle bağlantısı hızla büyüdü. yorum Bazı analistler, bu mimarinin rsETH’yi saldırganlar için daha cazip bir hedef haline getirdiğini savunuyor.
Daha önce ‘DeFi’nin güvenli merkezi’ gibi algılanan AAVE’nin imajı da son dönemde zedelenmeye başladı. Protokolden yaşanan sermaye çıkışları, piyasa zayıflığı ve yeni risklerin ortaya çıkması, AAVE’nin de *sistemik risk* üretip üretmediği tartışmasını doğurdu. Bu açıdan bakıldığında Kelp DAO saldırısı, tekil bir proje zafiyetinden ziyade, *DeFi tasarımı ve risk yönetimi*nin genel olarak ne kadar gevşek bırakıldığını gösteren bir gösterge olarak okunuyor.
Diğer tarafta Arbitrum güvenlik komitesi, saldırganın kaçırdığı 30 bin ETH’yi –yaklaşık 71 milyon dolar– geri almayı başardı. Bu hamle, fonların aklanma süreci yeni başlamışken geldi. On-chain analistler, bu saldırı ve fon hareketleri ile Kuzey Kore bağlantılı ‘TraderTraitor’ hacker grubu arasında olası bağlara dikkat çekiyor. Yine de bu tespitler şu aşamada ağırlıklı olarak analiz ve tahmin düzeyinde.
Curve Finance kurucusu Michael Egorov, hukuka aykırı fonları teknik olarak dondurup geri alma imkânı varken hiçbir adım atmamanın gerçekçi olmadığını belirterek Arbitrum’un kararını olumlu buldu. Bununla birlikte, bu tür müdahalelerin hangi şartlarda meşru sayılacağı ve geri alınan varlıkların hangi kriterlere göre paylaştırılacağı soruları hâlâ net değil. yorum Bazı DeFi savunucuları, bu tür adımların ‘tam *merkezsizlik*’ ilkesini zedelediğini düşünürken, diğerleri kullanıcı fonlarının korunmasının teorik prensiplerden daha öncelikli olduğunu savunuyor.
Sonuçta Kelp DAO saldırısı, yalnızca bir güvenlik açığının istismar edilmesi değil, aynı zamanda LayerZero altyapısındaki yapısal sorunları ve AAVE’nin dolaylı rolü etrafında büyüyen *sorumluluk tartışmasını* da gün yüzüne çıkardı. Kayıpların nasıl telafi edileceği, çalınan fonların ne ölçüde geri getirileceği ve projelerin güvenlik mimarisini nasıl yeniden tasarlayacağı, bundan sonra *DeFi ekosistemine duyulan güveni* ya güçlendirecek ya da zaten artan şüpheleri kalıcı hale getirecek gibi görünüyor.
Yorum 0