KelpDAO, merkeziyetsiz bir finans protokolü, 293 milyon dolarlık bir istismara uğradı — bu, DeFi tarihindeki en büyük saldırılardan biri. Saldırı, endişe verici bir değişime işaret ediyor: Sektörün en büyük güvenlik tehdidi artık sadece hatalı kod değil, bu platformları çalıştıran birbirine bağlı sistemlerin karmaşık ağı.
Darbenin boyutu
Çalınan fonlar yaklaşık 300 milyon doları buluyor; bu miktar, ihlali dolar değeri açısından en büyük DeFi saldırıları arasına yerleştiriyor. Saldırganlar, KelpDAO ekosistemindeki birden fazla havuzu boşalttı, ancak çalınan varlıkların tam dökümü açıklanmadı. Protokol, soruşturma devam ederken operasyonlarını durdurdu.
Kod hatalarından sistemik riske
Yıllar boyunca DeFi istismarları genellikle bireysel akıllı sözleşme güvenlik açıklarından kaynaklanıyordu — burada hatalı bir kod satırı, orada eksik bir izin kontrolü. Ancak KelpDAO saldırısı farklı bir tür güvenlik açığına işaret ediyor: protokollerin birbirleriyle, oracle'larla ve harici likidite kaynaklarıyla nasıl etkileşime girdiğinden kaynaklanan karmaşıklık. Mevcut sınırlı bilgilere göre saldırı, tek bir kodlama hatasından ziyade bu bağımlılıkları kullandı.
Bu değişim uzun süredir olgunlaşıyordu. DeFi sistemleri daha entegre hale geldikçe, bir bileşendeki kusur birçok alana yayılabilir. KelpDAO ihlali, bu karmaşıklığın tam olarak haritalanmadığı veya güvence altına alınmadığı durumlarda neler olabileceğinin canlı bir örneğidir.
Yanlış giden neydi
Kamuya açık olay sonrası analizler henüz bekleniyor. İlk göstergeler, saldırganların fiyat beslemelerini manipüle ettiğini veya protokoller arası kredi mekanizmalarını kullandığını işaret ediyor — bunlar, sistemin farklı parçalarının stres altında nasıl davrandığını anlamaya dayanan teknikler. KelpDAO ekibi saldırı vektörünü doğrulamadı ve lansman öncesinde kodu inceleyen güvenlik denetçileri, basit bir kod hatası olmadığı için bu tür bir saldırıyı yakalamamış olabilir.
Sonuçlar
KelpDAO kullanıcıları beklemeye alındı. Protokol para çekme işlemlerini dondurdu ve kolluk kuvvetleri ile güvenlik firmalarıyla çalışıyor. Herhangi bir fonun kurtarılıp kurtarılamayacağı henüz net değil. Geçmişteki benzer saldırılarda bazen müzakereler sonrası kısmi iadeler olmuştur, ancak bu konuda henüz bir açıklama yok.
Daha geniş DeFi topluluğu yakından izliyor. Sistemik karmaşıklık istismarlar için yeni norm haline gelirse, bireysel sözleşmelere odaklanan geleneksel kod denetimleri yeterli olmayacaktır. Sektörün, birden fazla protokol arasındaki etkileşimleri modelleyen stres testi ve simülasyon araçlarını benimsemesi gerekebilir.
KelpDAO, tam bir olay raporunu ne zaman yayınlayacağını açıklamadı. Bu belge, saldırının tam olarak nasıl gerçekleştiğini anlamak ve bir sonrakini önlemek için kritik öneme sahip olacak.
