Ödül Merkezi 
Aave, bu hafta başında 20 milyar dolardan fazla mevduata sahip en büyük merkeziyetsiz borç verme protokolüydü. Ancak, kendi dışındaki bir saldırı sonucunda yaklaşık 196 milyon dolarlık bir kötü borcu üstlenmek zorunda kaldı. 19 Nisan 2026'da Kelp DAO'nun rsETH kontratı, yılın şimdiye kadarki en büyük DeFi saldırısı ile 292 milyon dolar değerinde varlık kaybına uğradı. Saldırgan, çalınan rsETH'yi Aave V3'e teminat olarak yatırdı ve karşılığında WETH borç aldı. Ancak, saldırı sonrası rsETH'nin artık hiçbir teminatı kalmamıştı; yani bu krediye dayanak olan teminatların değeri fiilen sıfırlanmış oldu.
24 saat içinde, Aave platformunun kilitli toplam değeri (TVL) yaklaşık 22 milyar dolardan 15,4 milyar dolara geriledi; bu sırada tüm piyasalardaki mevduat sahipleri, rsETH ile hiçbir bağı olmayan havuzlardan dahi fonlarını çektiler. AAVE tokenı borsalara göre %16-20 arası düşüş yaşadı. Protokolün tam olarak bu tür durumlar için oluşturulan Umbrella güvenlik rezervi ise 196 milyon dolarlık zararı tamamen karşılamayabilir.
Kelp Saldırısı Nasıl Aave'nin Sorunu Oldu?
Kelp DAO saldırısı, Aave'nin akıllı kontratlarıyla doğrudan ilişkili değildi. Kelp, EigenLayer üzerine inşa edilmiş likit restaking protokolü olup, rsETH tokenları aracılığıyla stake edilmiş ETH pozisyonlarını temsil eder. 19 Nisan'da bir saldırgan Kelp'in çekim mekanizmasındaki bir zafiyeti kullanarak yaklaşık 292 milyon dolarlık varlığı çekti. Dolaşımdaki rsETH tokenlarının değeri teminatsız kaldı ve ETH fiyatına göre ciddi bir iskontoyla işlem görmeye başladı.
Aave bu noktada devreye girdi. Kelp ekibi tehlike altındaki tokenları dondurmadan önce saldırgan, çalınan rsETH'lerin büyük bölümünü Aave V3'e teminat olarak yatırdı ve karşılığında WETH borçlandı. Aave'nin oracle sistemi, rsETH'yi hala saldırı öncesi değeriyle fiyatlandırıyordu; çünkü Chainlink fiyat beslemesi depegi henüz yansıtamamıştı. Aave yönetişimi hem V3 hem V4'te rsETH piyasalarını dondurduğunda, saldırgan borç aldığı WETH'yi çoktan çekmişti. Böylece Aave, kredi verildiği anda değerli olan ama saldırı sonrası neredeyse değersizleşen bir teminatla baş başa kaldı.
Sonuç olarak, yaklaşık 196 milyon dolarlık kötü borç, sadece rsETH-WETH borçlanma çiftinde yoğunlaşmıştır. Bu, teorik bir kayıp ya da muhasebe düzeltmesi değil; protokolün borç aldığı ve çekilen WETH arz eden mevduat sahiplerine karşı gerçek bir borcudur.
24 Saatte 6,6 Milyar Dolar Neden Çekildi?
TVL'deki bu çöküş, DeFi kullanıcılarını kötü borçtan daha çok endişelendirmelidir. Aave'nin kötü borcu sadece rsETH-WETH çiftine ve belirli piyasalara bağlıydı. Aave'nin borç havuzlarının büyük çoğunluğunun rsETH ile ilgisi yoktu. USDC, DAI ve wBTC arz edenler, bu saldırıdan dolayı fon kaybetme riskiyle hiç karşılaşmadı.
Ancak mevduat sahipleri detayları analiz etmeyi beklemedi. "Aave" ve "kötü borç" başlıkta birlikte görünür görünmez, klasik bir banka hücumu dinamiği yaşandı. Kullanıcılar tüm piyasalardan, tüm zincirlerden, tüm havuzlardan fonlarını çekti. TVL yaklaşık 22 milyar dolardan 15,4 milyara, yani 24 saatten kısa sürede 6,6 milyar dolara geriledi. Bu çıkış, gerçek kaybın tam 33 katı büyüklükte.
Bu davranış DeFi'de yeni değil. 2023 Mart'ında Euler Finance saldırıya uğradığında, tüm ekosistemdeki borç protokollerinden de, saldırıyla ilgisi olmayan platformlardan dahi çekimler olmuştu. Fark bu kez ölçek; çünkü Aave, orta ölçekli bir protokol değil, kurumsal yatırımcıların "DeFi borçlanması olgunlaştı" argümanını dayandırdığı lider platform. 6,6 milyar dolarlık panik çıkışı, tek bir protokolün TVL grafiğinin çok ötesinde bir sinyal gönderiyor.
Ayrıca çekimler ikincil bir etki yarattı. Mevduatlar azalınca, kalan havuzlarda kullanım oranı arttı, bu da borçlanma oranlarını yükseltti ve daha fazla çekimi tetikledi. Bu geri besleme döngüsü, TVL düşüşünün gerçek kayıptan çok daha büyük olmasına yol açtı. 6,6 milyar dolarlık çıkış, fiili bir kayıptan ziyade, mevduat sahiplerinin risk-getiri dengesinin bir gecede değiştiğine karar vermesini yansıtıyor.
196 Milyon Dolarlık Açık Nasıl Kapatılacak?
Aave, bu tür durumlar için tasarlanmış bir mekanizmaya sahip. Umbrella güvenlik modülü, protokol gelirleri ve stake edilmiş AAVE mevduatlarıyla finanse edilen ve kötü borç olaylarında devreye giren bir yedek fondur. Ancak, rezervin 196 milyon dolarlık kaybı karşılamaya yetip yetmeyeceği belirsizdir.
2026 Nisan ortası itibarıyla, Umbrella rezervinin tahmini 80-100 milyon dolar arasında varlığı bulunuyor. Bu da yaklaşık 96-116 milyon dolarlık bir açık kalabileceği anlamına gelir. Umbrella'nın devreye alınması yönetişim oylaması gerektirir ve topluluk bu fonların nasıl kullanılacağına karar vermelidir.
Eğer güvenlik rezervi açığı tamamen kapatamazsa, bir sonraki koruma katmanı stkAAVE sahiplerine dayanır. Bu kişiler, stake ettikleri AAVE tokenlarını böyle kötü borç olaylarında son çare olarak kullanılması riskini üstlenip karşılığında protokol ücretlerinden pay alırlar. Açığı kapatmak için stake edilen AAVE’lerin bir kısmının kesilmesini (slashing) öngören bir yönetişim teklifi söz konusu olabilir. Şu anda stkAAVE sahipleri bu riski değerlendirmektedir.
Aave kurucusu Stani Kulechov, duruma ilişkin yaptığı açıklamada, saldırının tamamen Aave'nin kontratlarının dışında gerçekleştiğini doğruladı. "Aave protokolü tam olarak tasarlandığı şekilde çalıştı," diyen Kulechov, zafiyetin Kelp kodunda olduğunu vurguladı. Bu teknik açıdan doğru olsa da, teminat olarak kabul edilen bir varlık değersizleştiği için mevduatına ulaşamayan kullanıcılar açısından sınırlı bir teselli sunuyor.
AAVE Token Fiyatı Ne Anlatıyor?
AAVE, saldırı haberinin yayılmasıyla saatler içerisinde %16-20 düşerek 280 dolardan 224 dolar seviyesine geriledi, ardından 235 dolarda dengelendi. Satış baskısının iki sebebi vardı: Birincisi, kötü borcun doğrudan finansal etkisi ve stkAAVE sahiplerinin olası kesintiyle karşılaşma ihtimali. İkincisi ise, en büyük DeFi borç protokolünün dokuz haneli bir kayıp ile anılması sonucu oluşan itibar riski.
Token kısmen toparlansa da saldırı öncesi seviyelerin oldukça altında kalmaya devam ediyor. Toparlanma süreci, yönetişimin açığı nasıl yöneteceğine bağlı. Eğer Umbrella rezerviyle kaybın büyük kısmı kapatılır ve kalan açık ölçülü bir stkAAVE kesintisiyle karşılanırsa güvenin daha hızlı geri gelmesi beklenir. Süreç uzar veya başka restaking tokenlarında ek riskler ortaya çıkarsa, token tekrar en düşük seviyeleri test edebilir.
Dikkat edilmesi gereken verilerden biri, büyük AAVE sahiplerinin pozisyonlarıdır. Zincir üstü veriler, ilk 48 saatte bazı büyük cüzdanların 230 dolar altında birikim yaptığını, bazılarının ise AAVE'yi borsalara taşıdığını (genellikle satış öncesi bir işaret) gösteriyor. Bu karışık tablo piyasada henüz net bir görüş birliği olmadığını gösteriyor. Akümülasyon ve satış arasındaki denge, yönetişim netleşince ortaya çıkacaktır.
DeFi Borç Protokolleri İçin Ne Anlama Geliyor?
Kelp-Aave olayı, her borç protokolünün ortak yapısal riskini açığa çıkarıyor. DeFi borçlanmasında, teminat varlıklarının değerlemesi oracle'lar tarafından yapılır. Harici bir saldırı bir teminatı sıfırladığında ve oracle bunu güncelleyene kadar, borç protokolü kaybı üstlenir. Aave sistemsel bir hata yapmadı ve kontratları beklenildiği gibi çalıştı. Ancak sistem yapısı gereği, Aave mevduatlarının güvenliği, teminat olarak kabul edilen diğer protokollerdeki varlıkların da güvenliğine bağlıdır.
Bu, EigenLayer'ın piyasaya çıkışından beri eleştirmenlerin uyardığı "restaking kompozabilite riski"dir. rsETH, rswETH ve ezETH gibi likit restaking tokenları, zaten karmaşık olan staking pozisyonlarını yeni türev tokenlara çeviriyor ve bunlar da DeFi genelinde teminat olarak kullanılıyor. Her katman yeni bir bağımlılık getiriyor; bir katmanda sorun yaşandığında, üstüne inşa edilen tüm protokoller etkileniyor.
Önümüzdeki haftalarda, büyük borç protokollerinde likit restaking tokenlar için teminat gereksinimlerinin sıkılaştırılmasını öngören yönetişim teklifleri beklenebilir. Compound, MakerDAO ve benzeri türevleri kabul eden platformlar risk parametrelerini tekrar değerlendirebilir. Bazı platformlar restaking tokenlarını geçici olarak tamamen teminattan çıkarmayı tercih edebilir.
Mevduat sahipleri için çıkarılacak ders, iyi denetlenmiş akıllı kontratlar borç protokolündeki kod zafiyetlerine karşı koruma sağlar ancak harici protokollerdeki teminat varlıklarından doğan riski ortadan kaldırmaz. Farklı borç protokollerine dağıtım yapmak, tek protokol riskini azaltabilir; fakat Kelp olayı, aynı platformdaki etkilenmemiş havuzlarda dahi çekim yaşanabileceğini gösterdi. Gerçek çeşitlendirme, yalnızca farklı platformlarda değil, aynı zamanda teminat türlerinde de olmalıdır.
Sıkça Sorulan Sorular
Aave'nin kendisi mi hacklendi?
Hayır, Aave'nin akıllı kontratlarında herhangi bir açık yoktu. Kötü borç, Kelp DAO'nun rsETH protokolündeki harici bir saldırıdan kaynaklandı. Saldırgan çalınan rsETH'yi Aave'de teminat olarak kullanıp karşılığında WETH borç aldı. rsETH değersiz kalınca, teminatlar boşa çıktı ve borç alınan fonlar çekilmiş oldu.
Aave, Kelp saldırısında ne kadar kaybetti?
Aave, rsETH-WETH borçlanma çiftinden yaklaşık 196 milyon dolarlık kötü borcu üstlendi. Ayrıca protokolün TVL'si, tüm piyasalardaki mevduat sahiplerinin panik çekimiyle 6,6 milyar dolar azaldı; bu çekimlerin büyük kısmı önlem amaçlıydı.
stkAAVE sahipleri kayıp yaşar mı?
Muhtemel; stkAAVE sahipleri bu senaryoyu yakından takip etmeli. Umbrella güvenlik rezervi 196 milyon dolarlık açığı kapatamayabilir ve yönetişim, aradaki farkı kapatmak için stake edilen AAVE'nin bir kısmının kesilmesine karar verebilir. Bu, stkAAVE sahiplerinin staking karşılığında üstlendiği açık risktir. 20 Nisan itibarıyla yönetişim oylaması henüz yapılmamıştır.
Bu olaydan sonra Aave'ye fon yatırmak güvenli mi?
Aave'nin kontratları çalışır durumda ve herhangi bir açık bulunmadı. Buradaki risk, Aave'nin kodunda değil; platformda teminat olarak kabul edilen tokenların doğasından kaynaklanıyor. Mevduat sahipleri, fon yatırdıkları havuzlarda aktif olan teminat varlıklarını gözden geçirmeli ve restaking türevlerinin, ETH veya USDC gibi daha basit varlıklara kıyasla ek riskler taşıdığını bilmelidir.
Sonuç
Kelp saldırısı, Aave'ye 196 milyon dolarlık kötü borç ve 6,6 milyar dolarlık panik çekimi olarak yansıdı; ancak protokolün kodu hiçbir zaman ihlal edilmedi. Burada açığa çıkan asıl kırılganlık, DeFi borçlanmasındaki "kompozabilite riski", yani teminat olarak kullanılan harici restaking protokollerine olan bağımlılıktır. Yönetişim, önümüzdeki 1-2 hafta içinde Umbrella rezervinin nasıl kullanılacağına ve stkAAVE kesintisinin gerekip gerekmediğine karar verecek. Sürecin hızlı ve net olması hâlinde, TVL kayıpları geri dönebilir. Yönetişim süreci uzar veya başka restaking tokenlarında sorunlar yaşanırsa, bu olay DeFi borç protokollerinin kabul ettiği teminat varlıklarını tamamen yeniden değerlendirmesine yol açabilir. Restaking teminat standartlarını sıkılaştıran ilk protokoller, bir sonraki dönemde temkinli sermayeyi çekme şansına sahip olacak.
Bu makale yalnızca bilgilendirme amaçlıdır ve finansal ya da yatırım tavsiyesi teşkil etmez. Kripto para alım satımı önemli riskler içerir. Her zaman kendi araştırmanızı yaparak işlem kararı verin.
