DeFi, Nisan ayında son bir yılın en kötü ayını yaşadı. Blok zinciri güvenlik firmalarının derlediği verilere göre, istismarcılar 28 ayrı olayda 635 milyon dolar çaldı. Bu toplam, kümülatif tarihsel kayıpları 16,5 milyar dolara çıkarırken, bunun 7,7 milyar doları doğrudan DeFi'yi hedef aldı. Ayın en yıkıcı tek olayı — rsETH köprü saldırısı — Aave'yi 200 milyon dolarlık kötü borçla baş başa bıraktı ve sektörün güvenlik yerine hıza öncelik verme konusundaki tartışmayı yeniden alevlendirdi.
rsETH saldırısı: Yıllarca yaşayan bire-bir yapılandırma
KelpDAO'nun rsETH köprüsüne yapılan saldırı, bir mesajı onaylamak için yalnızca tek bir doğrulayıcı gerektiren 1-of-1 merkeziyetsiz doğrulayıcı ağı (DVN) yapılandırmasını istismar etti. Saldırganlar RPC altyapısını ele geçirdi, DDoS yoluyla zehirli düğümlere yük devretmeye zorladı ve o tek DVN'ye sahte veriler enjekte etti. Sahte mesaj, yaklaşık 116.500 rsETH'nin serbest bırakılmasına yol açtı ve bu rsETH daha sonra Aave'de teminat olarak yatırıldı.
Aave'nin olay raporu, Ethereum zincirinin saldırıdan 308 nonce'ını kabul ettiğini, Unichain kaynak uç noktasının ise asla 307'nin ötesine geçmediğini doğruladı — bu uyumsuzluk daha iyi izleme ile yakalanabilirdi. KelpDAO, 1-of-1 DVN'nin LayerZero'nun kendisinin gönderdiği varsayılan ayar olduğunu söylüyor. LayerZero ise KelpDAO'un bu ayara düşürme yaptığını iddia ediyor. Her ne olursa olsun, LayerZero o zamandan beri 1-of-1 DVN yapılandırmasını protokol genelinde yasakladı.
Suçlama, sorumluluk ve Lazarus bağlantısı
Chainalysis, saldırıyı ön olarak Kuzey Koreli Lazarus grubuna bağladı, ancak atıf hâlâ devam ediyor. Sektör için bu olay, kimin yaptığından çok nasıl olduğuyla ilgili. Immunefi CEO'su Mitchell Amador, "DeFi tarihsel olarak güvenlik olgunluğu yerine büyümeyi, entegrasyonları, likiditeyi ve hızı ödüllendirdi" dedi. Çoklu imza hijyeni, tedarik zinciri sağlamlaştırması, gerçek zamanlı izleme ve acil durum müdahale prosedürleri gibi birçok protokolün hâlâ atladığı göz ardı edilen uygulamalara dikkat çekti.
Solstice Finance CEO'su Ben Nadareski açıkça şunları söyledi: "Kazanan ekipler, ilk günden itibaren uyumluluk ve güvenlik üzerine inşa edilecek." Euler Finance CTO'su Kasper Pawlowski ise DeFi'de risk değerlendirmesinin genellikle tek seferlik bir onay kutusu olarak ele alındığını, ancak "riskin dinamik" olduğunu belirtti.
Tek ayda 11 milyar dolar TVL silindi
rsETH olayının ötesinde, DeFi geçen ay Drift ve KelpDAO köprüsündeki yüksek profilli istismarlar nedeniyle kilitli toplam değerde (TVL) yaklaşık 11 milyar dolar kaybetti. Bu rakamlar, güvenlik araştırmacılarının uyardığı bir eğilimin altını çiziyor: Protokoller entegrasyon ve likidite peşinde koşarken, saldırı yüzeyi savunmaların yetişebileceğinden daha hızlı genişliyor. Nisan ayı toplamı, 2024 başından bu yana en yüksek aylık kayıp oldu.
Şimdiki soru, sektörün nihayet güvenliği bir lansman günü kontrol listesi yerine sürekli bir süreç olarak ele alıp almayacağı — yoksa başka bir 200 milyon dolarlık deliğin ortaya çıkmasını mı bekleyeceği.
