Ödül Merkezi 
Nisan 2026'da Kelp rsETH saldırısı sonrası Aave 196 milyon dolarlık tahsil edilemeyen borç üstlendi ve toplam kilitli değeri 6,6 milyar dolar azaldı. Compound aynı gün rsETH piyasalarını dondurdu ve hiç tahsil edilemeyen borç oluşmadan süreci atlattı. MakerDAO ise farklı bir borç verme modeli kullandığı için bu riske hiç maruz kalmadı.
Üç farklı protokol, aynı saldırıdan üç farklı sonuç. Farklar çoğunlukla mimari, teminat politikası ve olumsuz bir durumda protokolün nasıl tepki verdiğinden kaynaklanıyor. DeFi borç verme platformlarında sermaye bulunduruyorsanız, protokolün arkasındaki güvenlik mekanizmaları sunulan APY oranlarından daha da önemli olabilir.
Kelp Saldırısında Ne Oldu?
Kelp DAO'nun rsETH tokenı, EigenLayer üzerinde oluşturulmuş likit restaking tokenıdır ve Nisan 2026'nın başında fiyat manipülasyonu saldırısına uğradı. Bu saldırı sırasında rsETH'nin değeri ETH'den şiddetli şekilde ayrıldı. Saldırganlar, Kelp'in oracle fiyatlama mekanizmasındaki bir açığı kullanarak, fiyat düzeltilmeden önce, birden fazla DeFi protokolü üzerinden şişirilmiş rsETH teminatına karşı borç alabildiler.
Aave, rsETH'yi birden fazla piyasada teminat olarak listelediği için en büyük zararı gördü. rsETH fiyatı düştüğünde, rsETH yatırıp karşılığında stablecoin veya ETH borçlanan kullanıcıların pozisyonları anında suyun altına indi. Protokolün tasfiye motoru pozisyonları yeterince hızlı kapatamadı ve 196 milyon dolarlık tahsil edilemeyen borç birikti. Aave yönetimi etkilenen piyasaları dondurdu.
Compound da rsETH'ye maruz kaldı, ancak piyasalarını daha hızlı dondurdu ve daha az rsETH teminatı listelediği için hiç tahsil edilemeyen borç oluşmadı. MakerDAO ise rsETH'yi teminat olarak hiç listelemediğinden saldırıdan doğrudan etkilenmedi.
Aave'nin Güvenlik Mekanizması Nasıl Çalışır?
Aave'nin tahsil edilemeyen borca karşı ana savunma mekanizması, stkAAVE (stake edilmiş AAVE) etrafında kurulmuş olan Umbrella güvenlik modülüdür. Token sahipleri AAVE'lerini bu modüle stake ederek protokolü destekler ve gelir elde eder. Eğer protokolün rezerv fonu yetersiz kalırsa, güvenlik modülündeki stake edilmiş AAVE'nin %30'una kadar kısmı kesilerek açık kapatılır. Kesilen tokenlar açık piyasada satılır ve elde edilen gelir açığı kapatmaya gider.
Bu model şu anda büyük bir sınavdan geçiyor. 196 milyon dolarlık borç, Aave tarihindeki en büyük tahsil edilemeyen borç olayı oldu ve güvenlik modülünün bunu karşılayıp karşılayamayacağı protokole olan güveni belirleyecek. Aave daha önce daha küçük olaylarla başa çıktı. Kasım 2023'te bir CRV piyasa manipülasyonu girişiminde 1,6 milyon dolarlık borç rezerv fonu ile kapatıldı ve güvenlik modülüne başvurulmadı. Ancak bu sefer miktar çok daha büyük.
Aave yönetimi saatler içinde rsETH piyasalarını dondurdu ve kurtarma planı tartışmalarına başladı. Protokolün hızlı yönetim mekanizması, acil durumlarda 24 saat içinde çok imzalı guardian ile karar alabilmesini sağlıyor. Standart önerilerde ise 5 günlük oy verme ve 2 günlük zaman kilidi uygulanıyor.
Fakat Kelp olayı, Aave'nin en çok farklı teminat türü listelemesinin getirdiği ayrı bir risk yüzeyini ortaya çıkardı. Bu çeşitlilik TVL'yi artırıyor ancak benzer saldırıların etkisini de büyütebiliyor.
Compound Aynı Saldırıyı Nasıl Karşıladı?
Compound'un Kelp saldırısına verdiği tepki daha basitti çünkü maruziyeti daha azdı. Piyasalarını hızla dondurdu ve borç oluşmadı. Bu kısmen şans, kısmen de tasarım farkından kaynaklanıyor.
Compound, teminat olarak kabul ettiği varlıklarda daha muhafazakâr davrandı. Yönetişimi, yeni ve az test edilmiş tokenları listelemeye mesafeli yaklaştı; protokol, Aave’ye kıyasla daha az sayıda yüksek likiditeli piyasada çalışacak şekilde yapılandırıldı. Compound III sürümü, her borç alma pozisyonunun tek bir varlıkla teminatlandırıldığı izole piyasalara geçti; böylece bir havuzdaki risk diğerlerine yayılmıyor.
Bunun bedeli, Compound’un daha düşük TVL ve daha az borç verme seçeneği sunmasıdır. Ancak egzotik teminatlar sorun çıkardığında, maruziyetin düşük olması zararı sınırlar. Compound’da Aave'nin güvenlik modülüne eşdeğer bir sigorta fonu yoktur. Temel savunma, tasfiye teşvikleri, muhafazakâr varlık listesi ve protokol ücretlerinden biriken rezerv fonudur.
Compound yönetimi Aave'ye göre daha yavaştır. Öneriler 2 günlük gecikme, 3 günlük oylama ve 2 günlük zaman kilidi gerektirir. Acil durumlarda guardian çok imzalı cüzdanla piyasaları durdurabilir; Kelp olayında da bu yol izlendi.
MakerDAO Neden Etkilenmedi?
MakerDAO (yeni adıyla Sky), temelde farklı bir borç verme modeli uygular. Havuz tabanlı borç vermek yerine, kullanıcılar teminatı bir kasaya yatırıp karşılığında DAI (veya Sky sonrası USDS) basar. Bir havuzda toplanan mevduat riske atılmaz. Protokol, aşırı teminatlandırılmış kasalarla yeni stablecoinler üretir.
Bu mimari fark, Kelp’in rsETH saldırısının Maker’a değmemesinin ana sebebidir. Maker’ın teminat onay süreci DeFi’daki en titiz süreçlerden biridir. Yeni teminat türleri çok haftalık risk değerlendirmesi aşamasından geçer: oracle güvenliği, likidite derinliği, akıllı kontrat denetimleri ve en kötü tasfiye senaryoları incelenir. rsETH bu süreçten geçemediği için Maker hiçbir zaman bu varlığa maruz kalmadı.
Maker’ın son savunma mekanizması acil durum kapatma özelliğidir. Protokol iflas eder veya ciddi bir oracle hatası yaşanırsa, MKR yönetişimi acil durum kapatmayı tetikleyebilir: yeni kasa oluşturulamaz, mevcut kasadakiler fazla teminatı geri alabilir ve DAI kalan teminatla sabit bir orandan itfa edilir. Bu ana ağda hiç tetiklenmedi fakat mevcut olan bir "nükleer seçenek"tir.
MKR tokenı da son çare sermaye desteği mekanizmasıdır. Tasfiye açıkları kapatılamazsa yeni MKR basılır ve açık piyasa satılarak boşluk tamamlanır. Bu mevcut MKR sahiplerini seyreltebilir ancak DAI sabitliğini korur. Bu mekanizma, Mart 2020'deki "Kara Perşembe" piyasa çöküşünde devreye girmişti.
Güvenlik Özellikleri Karşılaştırması
| Özellik | Aave | Compound | MakerDAO/Sky |
|---|---|---|---|
| Borç verme modeli | Havuz tabanlı (arz/borç) | Havuz tabanlı (izole piyasalar) | CDP (teminat karşılığı stablecoin basımı) |
| Sigorta mekanizması | Umbrella güvenlik modülü (stkAAVE destekli) | Protokol ücretlerinden rezerv fonu | MKR seyreltilmesi + acil durum kapatma |
| Teminat politikası | Agresif (50+ varlık türü) | Muhafazakâr (az ve likit varlıklar) | Çok muhafazakâr (haftalarca risk süreci) |
| Acil yönetişim hızı | Guardian 24 saatte müdahale edebilir | Guardian piyasaları hemen durdurabilir | Yönetişim oyuyla yürütme gecikmeli |
| Kelp saldırısı etkisi | 196M$ tahsil edilemeyen borç, 6.6B$ TVL düşüşü | Sıfır tahsil edilemeyen borç (piyasalar donduruldu) | Etkilenmedi (rsETH listelenmedi) |
| Tarihsel borç olayları | CRV 2023 (1.6M$), Kelp 2026 (196M$) | Sadece küçük olaylar | Kara Perşembe 2020 (6,65M$) |
| Oracle sistemi | Chainlink ana | Chainlink ana | 1 saat gecikmeli özel oracle modülü |
| Tasfiye modeli | Hollanda usulü açık artırma, ek teşviklerle | Sabit teşvikli tasfiye | Keeper botlarla teminat açık artırması |
Tablo, daha agresif teminat listelerinin normalde yüksek TVL ve ücret sağlarken, bir varlık başarısız olduğunda daha büyük risk oluşturduğunu gösteriyor. Muhafazakâr listeleme ise büyümeyi feda eder ama protokolü daha dayanıklı kılar.
Hangi Model Mevduatçılar İçin Daha Güvenli?
Cevap, yatırdığınız varlığa ve kabul etmeye hazırsınız riske bağlıdır.
Aave'de stablecoin ödünç veriyorsanız, mevduatınız borçluların yatırabileceği tüm teminat türlerinin riskini paylaşır. rsETH çöktüğünde, güvenlik modülü açığı kapatamazsa stablecoin mevduatçılarının tam olarak paralarını alamama ihtimali doğdu. stkAAVE arka planında bir güvenlik katmanı sağlar, fakat 196 milyon dolarlık zarar halen çözülmeyi bekliyor.
Compound yatırımcıları, listelenen varlık sayısının az olması nedeniyle daha düşük sistematik risk taşır. Compound III'ün izole piyasa yapısı, bir piyasadaki başarısızlığın diğerlerine sıçramasını önler. Ancak ayrı bir sigorta fonu yoktur ve büyük bir borç olayı doğrudan Compound'u etkilerse kayıplar mevduatçılara yansıyabilir.
Maker kasası kullanıcıları ise farklı bir risk taşır. DAI'niz diğer kasalardaki başarısızlık riskinden etkilenmez. Kişisel risk, teminatınızın oranı altına düşmesi durumunda kendi kasanızın tasfiye edilmesidir. Ayrıca acil durum kapatma özelliği, diğer protokollerde bulunmayan sistem seviyesinde bir koruma sunar. Ancak Maker'da Aave veya Compound'daki gibi havuza varlık sunup getiri elde etmek mümkün değildir.
Aave'nin Kurtarma Süreci DeFi Riskleri Hakkında Ne Anlatıyor?
Aave'nin 196 milyon dolarlık açığı nasıl yöneteceği DeFi borç verme sektöründe örnek teşkil edecek. Güvenlik modülü zararı karşılayabilirse, stkAAVE destekli sigorta modeli doğrulanmış olacak ve Aave'nin agresif teminat stratejisi sürdürülebilir. Eğer yönetişim müdahalesi, hazine tükenmesi veya stkAAVE'nin absorbe edemeyeceği kadar token seyreltilmesi gerekirse, piyasalar DeFi borç vermedeki risk algısını yeniden fiyatlayacak.
Son tartışmalara göre, Aave topluluğu likit restaking tokenları ve LRT türevleri için daha sıkı teminat listeleme kurallarına yöneliyor. Arz kotaları, izole teminat modları ve oracle gecikme gereklilikleri öneriliyor. Bu değişiklikler, yüksek riskli varlık kategorilerinde Compound'un muhafazakâr yaklaşımına yaklaşırken, köklü tokenlar için geniş piyasa seçeneklerini sürdürmeyi amaçlıyor.
Genel ders şu: DeFi borç verme protokolleri, en zayıf teminat varlığı kadar güvenlidir. Mükemmel akıllı kontratlar, hızlı yönetişim ve iyi finanse edilmiş sigorta modülleri olsa dahi, yanlış bir varlığın listelenmesi büyük kayıplara yol açabilir.
Sıkça Sorulan Sorular
Kelp saldırısı sonrası Aave kullanmak güvenli mi?
Aave'nin ana protokolü ve akıllı sözleşmeleri ihlal edilmedi. Tahsil edilemeyen borç, Aave'nin kendisinin değil, listelenen bir teminat türünün değer kaybetmesinden kaynaklandı. Güvenlik modülü bu gibi durumlar için tasarlandı ve protokol geçmişte daha küçük olaylarla başa çıktı. Açık soru, stkAAVE'nin 196 milyon dolarlık zararın ne kadarını karşılayabileceği.
Aave ve MakerDAO arasındaki fark nedir?
Aave havuz tabanlı bir protokoldür; kullanıcılar varlık yatırır ve başkaları bunları ödünç alır. MakerDAO'da kullanıcılar teminat kilitler ve karşılığında DAI basar. En önemli güvenlik farkı, Maker kasası kullanıcılarının yalnızca kendi teminat risklerine maruz kalması; Aave mevduatçılarının ise havuzdaki tüm teminat türlerinin riskini paylaşmasıdır.
Compound'un sigorta fonu var mı?
Compound, Aave'nin stkAAVE arka fonuna benzer özel bir sigorta modülüne sahip değildir. Protokol ücretlerinden biriken rezerv fonuna ve muhafazakâr teminat listesi politikasına güvenir. Compound III'ün izole piyasa tasarımı, farklı borç verme piyasaları arasında bulaşmayı sınırlar.
Hangi DeFi borç verme protokolü en düşük riske sahip?
MakerDAO'nun CDP modeli, stablecoin kullanıcıları için en düşük sistematik riski taşır çünkü kasa sahipleri yalnızca kendi teminatlarına maruz kalır ve acil durum kapatma son çare koruma sunar. Getiri arayanlar için Compound'un muhafazakâr varlık listesi ve izole piyasaları, Aave'nin geniş teminat menüsüne kıyasla daha düşük risk sunar.
Sonuç
Kelp saldırısı, stres testlerinin amaçladığı gibi, her protokolün savunmasının nerede başarılı, nerede zayıf olduğunu gösterdi. Aave'nin agresif teminat stratejisi DeFi borç vermede en yüksek TVL'yi sağlasa da sektör tarihinin en büyük tekil borç olayını üstlendi. Compound'un muhafazakâr yaklaşımı büyümeden feragat ederek dayanıklılığı öne çıkardı. MakerDAO'nun mimarisi ise saldırının baştan önemsiz olmasını sağladı.
Mevduat sahipleri için asıl soru, hangi protokolün en iyi APY oranına sahip olduğu değil, hangi protokolün en kötü senaryosuna katlanabilecekleri olmalı. Önümüzdeki 2-4 haftada Aave yönetişiminde stkAAVE kesinti oylamasını ve kurtarma planını takip etmekte fayda var. Güvenlik modülü 196 milyon doları eksiksiz karşılarsa, sigorta modeli bir sonraki döngü için onaylanmış olur. Aksi takdirde, Compound ve Maker’a sermaye akışı olabilir.
Bu makale yalnızca bilgilendirme amaçlıdır ve finansal ya da yatırım tavsiyesi olarak değerlendirilmemelidir. Kripto para ticareti önemli riskler içerir. Her zaman kendi araştırmanızı yapınız.
