Kelp DAO saldırısının toz dumanı henüz dağılmamışken, DeFi analizcileri Carlos (0xcarlosg), Luke Leasure ve Shaundadevens önemli bir analiz yayımladı: “Aave: Cracks in the Monolithic Thesis” (Aave: Monolitik Tezdeki Çatlaklar). Yazarlara göre 18 Nisan’daki olay, yalnızca bir tedarik zinciri saldırısı değil; Aave’nin tek havuzlu (monolithic pool) mimarisindeki temel bir çatlağın görünür hale gelmesi.
Olay: Lazarus Group, Ayakkabı Kutusu Gibi Çalışan Bir Zincirleme Tetikledi
Analiz, saldırının arkasında Lazarus Group‘un olduğunu ileri sürüyor. 18 Nisan 2026’da grup, LayerZero’nun köprü altyapısını (somut olarak KelpDAO’nun rsETH köprüsü) sömürerek karşılıksız (unbacked) 116.500 rsETH tokenı mintledi. Ardından bu tokenları Aave V3’e teminat olarak yatırdı ve platformun E-Mode çerçevesini kullanarak yaklaşık 193 milyon dolarlık WETH borçlandı.
Yani saldırganın elindeki teminat aslında hiçbir zaman var olmayan, sahte bir varlıktı. Ancak Aave’nin bakış açısından bu teminat geçerli görünüyordu ve borçlanma normal şekilde gerçekleşti.
Gerçek Sorun: Looping Stratejileri ve Gizli Kaldıraç
Yazarların ortaya koyduğu asıl mesele şu: Aave’deki devasa borçlanma hacminin önemli bir bölümü “looping” (döngü) stratejilerinden oluşuyordu. Kullanıcılar getirili varlıkları (rsETH gibi likit staking token’ları – LST) yatırıyor, karşılığında borç alıyor, bu borçla yeniden aynı veya benzer LST alıyor ve bunu bir döngü halinde tekrarlıyordu.
Sonuç: ETH likit staking ekosisteminde birikmiş, yoğunlaşmış ve görünmez kaldıraç. Aave’nin tek havuzlu yapısı içinde farklı risk profillerine sahip varlıklar birbirine bağlanıyor ve bir yerdeki çöküş tüm sistemi etkileyebiliyor.
Zincirleme Etki: WETH Likiditesinin Buharlaşması
Saldırının ardından tetiklenen zincirleme yazarların tezini doğruluyor: WETH havuzunun kullanım oranı yüzde 100’e ulaşarak likiditeyi tamamen kilitledi. Aave, rekor düzeyde bir haftalık para çıkışı yaşadı — tam 8,67 milyar dolar. aWETH piyasası yüzde 8 iskontoyla işlem görmeye başladı; yani kullanıcıların elindeki Aave WETH token’ları, gerçek WETH’e göre değer kaybetti.
Umbrella Sigortası Yetersiz
Makaleye göre Aave’nin 54 milyon dolarlık Umbrella sigorta fonu, bu ölçekteki bir saldırı için büyük olasılıkla yetersiz. Oluşan kötü borç miktarı (bad debt) bu koruyucu tamponun kat kat üzerinde ve zararın nasıl dağıtılacağı hâlâ belirsizliğini koruyor.
Monolitik Modelin Sonu mu?
Yazarların asıl önermesi teknik bir saldırı analizinden çok yapısal bir tartışma: DeFi borçlanma modeli artık “her şey bir havuzda” yaklaşımından uzaklaşmalı. Önerilen üç katmanlı yapı şöyle:
- Unified pools (Birleşik havuzlar) — yalnızca likit ve düşük riskli varlıklar için
- Modular markets (Modüler pazarlar) — hibrit risk teminatları (LST, LRT gibi türev getirili varlıklar) için izole edilmiş, kendi parametrelerine sahip piyasalar
- Vertically integrated CeDeFi (Dikey entegre CeDeFi) — kurumsal kredi için özel, uyum odaklı yapılar
DeFi’nin Yapısal Dönüm Noktası
Kısacası yazarlara göre Aave’nin tek beden herkese uyar yaklaşımı, karmaşık ve korelasyonlu risklerin yükü altında çatlamaya başladı. rsETH, wstETH, weETH ve benzeri türev staking varlıklarının aynı havuzda farklı risk seviyeleriyle bir arada bulunması, tek bir zayıf halkanın tüm sistemi riske atmasına yol açabiliyor.
Morpho ve Euler gibi modüler kredi protokollerinin son dönemdeki yükselişi, aslında tam olarak bu yaklaşımın piyasa karşılığı bulduğuna işaret ediyor. Kelp DAO olayı, bu tartışmanın artık teorik değil, pratik bir zorunluluk haline geldiğini gösteriyor.
Aave’nin V4’te bu yönde adımlar atmaya başladığı biliniyor; ancak analistlere göre yapılacak şey birkaç parametre ayarından çok daha köklü bir dönüşüm. DeFi lending’in gelecek nesli, tek havuzlu devlerin değil, özelleşmiş ve modüler yapıların etrafında şekillenebilir.
Kaynak: Carlos (@0xcarlosg), Luke Leasure ve Shaundadevens – “Aave: Cracks in the Monolithic Thesis”
Bir yanıt yazın