Bu story, “290 milyon dolarlık rsETH exploit’i Aave V3’ün WETH rezervinde kötü borç oluşmasına neden olmuş olabilir” ifadesiyle güncellendi. Gelişmeler geldikçe haberi tekrar güncelleyeceğiz.
Aave V3’ün Wrapped Ether (WETH) rezervinde, hacker’ların KelpDAO’nun rsETH likit restaking token’ını sömürüp onu teminat göstererek lending protokolünden borç almaları nedeniyle kötü borç oluştu.
Solidity geliştiricisi ve denetçi 0xQuit, X’te yaptığı uyarıda, WETH havuzunun işlevsiz hale geldiğini belirtti ve mevduat sahiplerinin ancak Aave’nin Umbrella sigorta fonu açığı kapadıktan sonra kısmi çekim yapabileceklerini söyledi.
Drained rsETH Aave’de Kötü Borca Nasıl Yol Açtı?
Exploit, saldırganın Tornado Cash üzerinden cüzdanlara fon aktarmasıyla başladı. Yaklaşık 116.500 rsETH KelpDAO’dan çekildi ve toplamda 290 milyon doları aştı.
Saldırgan daha sonra çaldığı rsETH’i Aave V3’te teminat olarak gösterdi ve bunun karşılığında yüklü miktarda WETH borç aldı.
Çünkü draining işlemi sonrası rsETH’in arkasındaki teminat kayboldu, bu pozisyonlar efektif olarak likide edilemiyor. Bu da Aave’yi elindeki WETH yükümlülükleriyle baş başa bıraktı ve protokol geleneksel yollarla bu borcu tahsil edemiyor.
Solidity geliştiricisi ve denetçi 0xQuit ‘Keşke daha iyi haberlerim olsaydı ama aave’deki WETH tamamen sıkışmış gibi görünüyor. Çekim yapabiliyorsanız deneyin, ancak muhtemelen çok geç’ dedi.
Aave V3 ve Aave V4’teki rsETH market’ler donduruldu. Aave, akıllı kontrat’ların hack’lenmediğini, olayın sadece rsETH ile bağlantılı olduğunu vurguladı.
Aave ‘rsETH market’lerinin dondurulması, yeni mevduat veya rsETH teminatına dayalı yeni borçlanmaları durdurmamızı sağladı. Durumu analiz ederken exploit sonrası gerçekleşen rsETH borçlarını da detaylıca inceliyoruz. Eğer protokol bu olaydan kötü borç biriktirirse, Umbrella varlıkları açığı kapatmak için kullanılabilir’ diye belirtti.
Umbrella Sistemi WETH Yatırımcıları İçin Ne İfade Ediyor?
2025 sonunda eski Safety Module’ün yerini alan Aave’nin Umbrella sistemi, tam da bu gibi krizlere karşı geliştirildi.
Umbrella kasasında aWETH staking yapan kullanıcıların pozisyonları, açığı karşılamak için otomatik olarak azaltılacak.
Slashing döngüsü tamamlandığında, geriye kalan WETH tedarikçileri kısmi çekim hakkı geri kazanacak.
Ancak tam kurtarma garantisi yok. Mevduat sahipleri pozisyonlarında kesintiyle karşılaşabilir.
Bu olay, Umbrella sisteminin kötü borca karşı tam otomatik koruma yeteneğinin ilk gerçek dünya sınavı oldu. Ayrıca restaking teminatlarının lending protokol’lerinde whitelist edilmesinin riskleriyle ilgili soruları da tekrar gündeme taşıdı.
Bu sırada, token’lanmış varlık yönetimine yönelik non-custodial vault hizmeti sunan Upshift ekibi, rsETH’e hiçbir şekilde pozisyonları olmadığını açıkladı.
Upshift, ‘KelpDAO ile rsETH’de olası bir exploit için görüşüyoruz. Önlem olarak, Kelp ekibi soruşturma süresince High Growth ETH ve Kelp Gain vault’larına yatırma ve çekme işlemlerini geçici olarak durdurdu. Upshift USDC, Core USDC ve EarnAUSD vault’larının rsETH’e sıfır maruziyeti var. Kelp ekibinden yeni bilgi aldıkça sizi de haberdar edeceğiz’ diye yazdı.
