Haberler 
Coin Bilgisi 
Hakkımızda 
글로벌 DeFi piyasası yeniden ‘cross-chain’ zafiyetleri nedeniyle sarsıldı. Kelp DAO köprüsünde gerçekleşen büyük ölçekli saldırıda yaklaşık 292 milyon dolarlık varlık sistemden çekildi ve bu durum, Ethereum(ETH) tabanlı ‘restaking’ ekosisteminin geneline yayılan bir dalga etkisi yarattı.
Saldırı, ayın 17’sinde (yerel saatle) Kelp DAO’nun LayerZero(LayerZero) tabanlı köprüsünde ortaya çıktı. Saldırgan, sahte bir cross-chain mesajı oluşturup bunu normal bir transfer isteği gibi göstererek sistemi yanılttı. Böylece 116 bin 500 rsETH, harici bir cüzdana aktarıldı. Bu miktar, toplam yaklaşık 630 bin adet rsETH arzının yaklaşık %18’ine denk geliyor.
rsETH, Ethereum’u kilitleyerek ek getiri elde etmeye dayalı ‘restaking’ modelinde üretilen bir token. Kelp DAO ise bu tokeni farklı ağlarda kullanılabilir kılmak için, köprü üzerinde önemli miktarda teminat tutuyordu. Ancak bu saldırı, köprüdeki teminat yapısını doğrudan hedef aldığı için ‘staking’ tokenlerinin dayandığı ‘güven’ altyapısını da ciddi biçimde sorgulatmaya başladı.
Kelp DAO ekibi 46 dakika içinde acil çoklu imza(Multisig) mekanizmasıyla ana akıllı sözleşmeleri durdurdu ve aynı yöntemle yapılabilecek ek saldırı girişimlerinin engellendiğini açıkladı.
북한 bağlantılı hacker şüphesi… ‘yorum’Bu tekil bir olay değil, kalıcı bir operasyon modeli olabilir’yorum
Siber güvenlik çevreleri, saldırının Kuzey Kore bağlantılı bir hacker grubuyla ilişkili olabileceği ihtimaline odaklanmış durumda. Kısa süre önce gerçekleşen Drift(Drift) saldırısıyla benzer teknik desenler taşıması bu şüpheyi güçlendiriyor.
ENS Labs’ten Alexander Urbelis(Alexander Urbelis), “Bu, tek seferlik bir olaydan çok ‘sürdürülen bir operasyon modeli’ne benziyor” diyerek, “Bu tür zafiyetler, basit bir güvenlik yamasıyla çözülebilecek sorunlar değil” uyarısında bulundu.
Bu olayda kritik nokta, saldırının klasik anlamda şifre kırma ya da anahtar çalma üzerinden değil, sistemin ‘güvendiği veriyi’ manipüle etmesi. Yani blockchain’in tasarım mantığındaki ‘güvenilir mesaj’ kavramı tersine çevrilerek kullanıldı. Bu da DeFi altyapısının en temel ‘güven’ katmanına darbe vurduğu şeklinde yorumlanıyor. İlgili iki büyük saldırı dikkate alındığında, son haftalarda ele geçirilen fonların toplamı 500 milyon doları (yaklaşık 7,4 trilyon won/7,4 milyar TL civarı) aşmış durumda.
Aave(AAVE) tarafına sıçrayan risk… 230 milyon dolara kadar ‘bozuk’ pozisyon ihtimali
Sorun yalnızca Kelp DAO ile sınırlı kalmadı. Saldırgan, ele geçirdiği rsETH’lerin yaklaşık 89 bin 567 adetini teminat olarak Aave(AAVE) protokolüne yatırdı ve karşılığında yaklaşık 190 milyon dolar değerinde Ethereum(ETH) ve çeşitli diğer varlıkları borç aldı.
Bu durum, Aave’nin ‘değerini ciddi biçimde kaybetmiş bir teminat’ üzerinden açılmış kredilere maruz kalması anlamına geliyor. Protokolün risk havuzu, rsETH tarafındaki teminat çöküşünden doğrudan etkilenmiş durumda.
Aave ekibi, hızla rsETH pazarını dondurdu ve bu varlık için teminat olarak kabul oranını(LTV) 0’a indirdi. Yeni kredi verilmesi de tamamen durduruldu. Bundan sonraki süreçte, zararın nasıl dağıtılacağı belirleyici olacak.
Mevcut senaryolara göre, zarar tüm rsETH sahiplerine yayılırsa yaklaşık 124 milyon dolarlık ‘bozuk’ pozisyon oluşacağı tahmin ediliyor. Buna karşılık, belirli bir Layer2 ağı üzerinde yoğunlaşan kullanıcıların yükü daha fazla üstlenmesi durumunda, potansiyel zarar 230 milyon dolar seviyesine kadar çıkabilir.
Dondurulan fonlar ve Arbitrum(ARB) yönetiminin rolü
Çalınan fonların bir kısmı için kurtarma ihtimali doğmuş durumda. Arbitrum(ARB) güvenlik komitesi, yaklaşık 30 bin 766 ETH’lik (yaklaşık 71 milyon dolar) varlığı dondurdu.
Bu varlıklar, şu anda ayrı bir cüzdanda tutuluyor ve bundan sonra yalnızca Arbitrum topluluk yönetiminin (governance) onayıyla hareket ettirilebilecek. Arbitrum tarafı, alınan bu tedbirin son kullanıcılar ve uygulamalar üzerinde ek bir olumsuz etki yaratmadığını vurguladı.
‘Sosyalize zarar’ olasılığı düşük… Piyasadaki belirsizlik sürüyor
Piyasada, Kelp DAO’nun nihai zarar yönetimi stratejisi yakından izleniyor. Özellikle, kaybın tüm kullanıcı tabanına yayılması anlamına gelen ‘sosyalize zarar’ (‘socialized loss’) modelinin uygulanıp uygulanmayacağı tartışma konusu.
Öngörü platformu Polymarket verilerine göre, bu tarz bir ‘zarar paylaşımı’ olasılığı yaklaşık %14 seviyesinde fiyatlanıyor. Bu model, Ethereum ana ağındaki kullanıcıların da kaybı paylaşmasını öngörüyor ve geçmişte Bitfinex borsası saldırısında kullanılan yaklaşıma benzetiliyor.
Bu son olay, basit bir ‘hack’ten çok daha fazlasını işaret ediyor. ‘Cross-chain’ köprü mimarileri, ‘restaking’ modelleri ve DeFi teminat sistemlerinin genel tasarımı üzerindeki zayıf noktalar net biçimde açığa çıktı. Önümüzdeki dönemde piyasa, özellikle rsETH ve ilişkili protokollerin ‘güveni yeniden inşa’ edip edemeyeceğini ana risk faktörü olarak takip edecek gibi görünüyor.
Yorum 0