KelpDAO’nun rsETH köprüsünde yaşanan güvenlik açığının ardından, Aave cephesinden kapsamlı bir durum güncellemesi geldi. Protokol, yayımlanan yeni raporda olayın teknik arka planını, Aave üzerindeki etkilerini ve olası zarar senaryolarını detaylandırdı.
Açıklamaya göre, Aave DAO’ya bağlı servis sağlayıcıları şu anda protokolde ortaya çıkabilecek olası “bad debt” (geri ödenemeyen borç) senaryolarını değerlendirirken, ekosistem katılımcılarıyla birlikte bu açığın kapatılması için de koordineli bir çalışma yürütüyor.
Rapora göre saldırı, 18 Nisan 2026 tarihinde Kelp’in LayerZero V2 tabanlı Unichain-Ethereum rsETH rotasında gerçekleşti. Saldırganın sahte bir doğrulama paketiyle Ethereum tarafındaki adaptörden 116.500 rsETH çektiği, ardından bu varlıkları birden fazla adrese dağıtarak bir kısmını Aave V3’te teminat gösterip WETH ve wstETH borçlandığı belirtildi. Aave verilerine göre saldırgan toplam 89.567 rsETH’yi Aave üzerinde teminat olarak kullanırken, buna karşılık yaklaşık 82.650 WETH ve 821 wstETH borç aldı. Bu pozisyonların önemli bölümü Ethereum ve Arbitrum ağlarında açıldı.
Aave, olayın kendi akıllı sözleşmelerinden kaynaklanmadığını özellikle belirtti. Protokole göre güvenlik açığı tamamen rsETH varlığının bağlı olduğu dış altyapıdan kaynaklandı ve Aave’nin sözleşmeleri, oracle sistemi ile likidasyon mekanizmaları süreç boyunca tasarlandığı şekilde çalıştı. Olayın tespit edilmesinin ardından rsETH ve wrsETH rezervleri tüm Aave V3 dağıtımlarında donduruldu, ilgili piyasalarda kredi-değer oranı sıfıra çekildi ve yeni arz ya da borçlanma işlemleri kapatıldı. Ayrıca farklı zincirlerdeki WETH faiz modeli güncellendi ve daha sonra WETH marketlerinde de yeni borçlanmaların yayılmasını önlemek için ek dondurma önlemleri devreye alındı.
Aave, Oluşan Zararların Tazmini İçin İki Senaryo Verdi
Raporda, ortaya çıkabilecek zarar için iki ana senaryo üzerinde duruldu. İlk senaryoda kayıpların tüm rsETH arzına eşit şekilde yayılması halinde Aave üzerindeki toplam bad debt’in (ödenemeyen borcun) yaklaşık 123,7 milyon dolar seviyesinde oluşabileceği hesaplandı. Bu durumda en büyük mutlak zarar Ethereum Core üzerinde görülürken, oransal olarak en ağır etki Mantle zincirinde ortaya çıkıyor. İkinci senaryoda ise kayıpların sadece L2 üzerindeki rsETH varlıklarına yansıtılması varsayılıyor. Bu durumda toplam bad debt tahmini 230,1 milyon dolara kadar yükseliyor. Rapora göre bu senaryoda en büyük baskı Mantle, Arbitrum ve Base üzerindeki WETH rezervlerinde oluşabilir.
Aave’nin paylaştığı verilere göre DAO hazinesinin 20 Nisan 2026 itibarıyla toplam 181 milyon dolarlık varlığa sahip olduğu belirtildi. Bu varlıkların 62 milyon dolarlık kısmı Ethereum korelasyonlu ürünlerden, 54 milyon dolarlık kısmı AAVE tokenlerinden ve 52 milyon dolarlık kısmı ise stablecoinlerden oluşuyor. Ayrıca protokolün 2025 boyunca 145 milyon dolar gelir ürettiği, 2026 yılının başından bu yana ise 38 milyon dolar gelir ve 16 milyon dolar net kâr elde ettiği bildirildi. Aave, yalnızca hazine kaynaklarına değil, aynı zamanda ekosistem temsilcilerinden gelen destek taahhütlerine de güvendiğini belirtti.
Raporda dikkat çeken bir başka başlık ise WETH piyasalarındaki likidite sıkışıklığı oldu. Ethereum, Arbitrum, Base, Linea ve Mantle üzerindeki WETH rezervlerinin şu anda yüzde 100 kullanım oranına ulaştığı ifade edildi. Bu da likidasyon süreçlerinde likidite sağlayıcıların serbest WETH’ye erişimini zorlaştırarak sistem üzerindeki baskıyı artırıyor. Aave, mevcut durumda sistemin genel olarak çalışmaya devam ettiğini ancak özellikle rsETH zararının nasıl dağıtılacağına dair dışarıdan verilecek kararların nihai tabloyu belirleyeceğini söyledi.
Umbrella Mekanizmasında Ne Bekleniyor?
Aave’in yayımladığı raporda “Umbrella” (diğer adıyla güvenlik/sigorta modülü) konusu, rsETH krizi bağlamında kritik başlıklardan biri olarak öne çıkıyor. Bu mekanizma, protokolde oluşabilecek “bad debt” (geri ödenemeyen borç) durumlarında devreye girerek belirli rezervleri korumayı amaçlayan bir güvenlik katmanı olarak çalışıyor.
Aave tarafından paylaşılan detaylara göre, Umbrella modülü özellikle Ethereum ana ağındaki (Core) WETH rezervleri için bir tür tampon görevi görüyor. Normal şartlarda bu modül, belirli varlıkların stake edilmesiyle oluşturulan bir havuz üzerinden çalışıyor ve protokolde zarar oluştuğunda bu havuzdaki varlıklar “slashing” (kesinti) yoluyla kullanılarak açığın bir kısmını karşılayabiliyor.
Ancak mevcut rsETH krizi kapsamında Aave, Umbrella modülüne yönelik dikkat çekici bir öneri sundu: modülün geçici olarak durdurulması. Bunun arkasındaki temel neden, olası bir kötü senaryoda (özellikle kayıpların tüm sisteme yayılması durumunda) bu modülün erken ve kontrolsüz şekilde devreye girerek stake edilen varlıkların hızla erimesini önlemek.
Rapora göre, şu anda Umbrella kapsamında stake edilen yaklaşık 23.500 WETH’in önemli bir kısmı “unstaking beklemesi” sürecine girmiş durumda. Bu da yatırımcıların fonlarını çekmeye hazırlandığını ve potansiyel bir “bank run” riskinin oluşabileceğini gösteriyor.
Öte yandan, ikinci senaryoda (kayıpların yalnızca L2 ağlarındaki rsETH ile sınırlı kalması durumunda) Umbrella modülünün devreye girmesine gerek kalmayabileceği belirtiliyor. Çünkü bu modül yalnızca Ethereum ana ağındaki rezervleri kapsıyor ve L2 kaynaklı zararlar bu güvenlik mekanizmasının dışında kalıyor.
Sonuç olarak Umbrella, Aave’in kriz anlarında başvurabileceği önemli bir “son savunma hattı” olarak görülse de, mevcut durumda doğrudan devreye sokulması yerine kontrollü şekilde beklemeye alınması daha güvenli bir strateji olarak değerlendiriliyor.
*Yatırım tavsiyesi değildir.