KelpDAO saldırısı, Aave protokolünde sistemik bir sarsıntıya yol açtı

KelpDAO protokolünün köprü altyapısındaki kritik bir güvenlik açığı, DeFi tarihinin en önemli likidite şoklarından birine yol açtı. Saldırgan, bir güvenlik açığını istismar ederek toplam arzın yaklaşık %18’ini oluşturan 116.500 sahte rsETH tokeni üretti.

Piyasa değeri 292 milyon dolar olan bu teminatsız varlıklar, daha sonra teminat olarak Aave protokolüne yatırıldı. Bu, saldırganın ETH, wETH ve stabilcoinler şeklinde gerçek varlıklara erişim sağlamasına olanak tanıdı ve bu varlıklar sistemden anında çekildi.

"Gerçek para karşılığında sahte tokenlar" şeklindeki basit mantık, anında bir zincirleme reaksiyonu tetikledi. Sistemdeki nakit tükenmeden önce yatırımcılar fonlarını kurtarmak için acele edince, büyük çaplı bir "banka paniği" yaşandı.

MEXC borsası ve Justin Sun dahil olmak üzere büyük kurumsal oyuncular, panik içinde varlıklarını çekmeye başladı. Bu durum, Aave'den tek bir günde 6 milyar doları aşan bir likidite çıkışına yol açtı.

Bu hızlı para çekme, ETH, USDT ve USDC gibi temel havuzların kullanım oranının kritik bir seviye olan %100'e çıkmasına neden oldu. Bu noktada sistem fiilen kilitlendi ve sıradan kullanıcılar mevduatlarını çekme imkânını kaybetti.

Varlıklarının en azından bir kısmına erişebilmek için kullanıcılar, maliyetli bir acil çözüm yoluna yöneldi. Sadece bir miktar nakit elde etmek için donmuş mevduatlarına karşı kendi paralarını ödünç almaya başladılar.

Bu durum, kredi hacminde 300 milyon dolarlık anormal bir artışa neden oldu. Analistler, bunun sağlıklı bir kredi talebinin işareti olmadığını, kullanıcıların kendi tasarruflarına erişmek için faiz ödediği bir krizin açık bir göstergesi olduğunu belirtiyor.

Kredi-Değer Oranı (LTV) sınırlarının yaklaşık %75 olarak belirlenmiş olması nedeniyle, kullanıcılar varlık değerlerinin yalnızca bir kısmını borç alabildiler. Bu çaresiz likidite arayışında, %10 ile %25 arasında değişen anlık kayıpları kabul etmek zorunda kaldılar.

Sistemik felç yavaş yavaş diğer piyasalara da yayıldı. DAI, GHO ve USDe gibi stabilcoin havuzlarındaki likidite kurudu ve bu coinler çeşitli DeFi piyasalarında tamamen kullanılamaz hale geldi.

Aave'nin akıllı sözleşmeleri doğrudan tehlikeye girmiş olmasa da, KelpDAO saldırısının ikincil etkileri yıkıcı oldu. Aave, sistemin daha fazla istismar edilmesini önlemek için V3 ve V4 sürümlerindeki rsETH piyasalarını derhal dondurarak yanıt verdi.

Tüm olay, DeFi protokolünün karşılıklı bağımlılığıyla ilişkili risklerin bir hatırası olarak kalıyor. Bir halkadaki bir arıza, birkaç saat içinde tüm ekosistemi felç edebilir ve kullanıcıları kendi sermayelerini kurtarmak için son derece yüksek bir bedel ödemeye zorlayabilir.