Merkeziyetsiz finans (DeFi) tarihindeki en yıkıcı "büyük parmak" hatalarından biri olarak tanımlanan olayda, bir kripto balinası 12 Mart 2026'da tek bir işlemde fiilen yaklaşık 50 milyon doları yok etti. Kullanıcı, 50,4 milyon dolar değerindeki USDT'yi AAVE tokenları karşılığında takas etmeye çalıştı, ancak feci likidite eksikliği ve görmezden gelinen güvenlik uyarıları nedeniyle, o sırada yaklaşık 50.000 dolar değerinde sadece 324 AAVE alabildi.
CoW Swap yönlendirmesi aracılığıyla Aave arayüzü üzerinden gerçekleştirilen işlem, zincir üstü likidite dinamiklerinin acımasız gerçeğini gözler önüne serdi. Tipik likit bir piyasada, 50 milyon dolar yüz binlerce AAVE tokenı satın alırdı. Ancak, bu kadar büyük bir emri tek bir zincir üstü yola yığarak, yatırımcı fiyat eğrisini o kadar agresif bir şekilde hareket ettirdi ki, gerçek piyasa oranından binlerce kat daha yüksek bir ortalama fiyat ödedi.
50 Milyon Dolarlık Kaymanın Anatomisi
Kaybın arkasındaki mekanikler, çoğu merkeziyetsiz borsanın kullandığı Otomatik Piyasa Yapıcı (AMM) modelinde kök salmıştır. Emir defterlerine sahip merkezi borsaların aksine, DEX'ler likidite havuzlarına güvenir. Bir alım emri mevcut likiditeden önemli ölçüde büyük olduğunda, protokol talebi karşılamak için fiyat eğrisinde daha ileri gitmek zorundadır.
Bu durumda, 50,4 milyon dolarlık USDT takası, makul fiyatlarla mevcut AAVE'yi neredeyse anında tüketti. İşlemin "imzalanmış" parametrelerini yerine getirmek için yönlendirme protokolü, AAVE'yi astronomik şekilde şişirilmiş fiyatlardan almak zorunda kaldı. Bu durum, "beklenen işlem fiyatı ile işlemin fiilen gerçekleştirildiği fiyat arasındaki fark" olan "kaymaya" (slippage) neredeyse %99,9 neden oldu.
Göz Ardı Edilen Uyarılar ve Mobil Uygulama
Aave Labs kurucusu Stani Kulechov'a göre, protokolün arayüzü tam olarak amaçlandığı gibi çalıştı. Sistem, devasa fiyat etkisini belirledi ve üst düzey bir uyarı tetikledi. Devam etmek için kullanıcının "olağanüstü kayma" hakkındaki bir uyarıyı manuel olarak onaylaması ve belirli bir onay kutusunu tıklayarak riski teyit etmesi gerekiyordu.
Veriler, işlemin bir mobil cihazda onaylandığını gösteriyor. Analistler, kullanıcının acele ediyor olabileceğini veya daha küçük bir ekranda görüntülenen uyarının büyüklüğünü kavrayamadığını tahmin ediyor. CoW Swap daha sonra işlemin, kullanıcının imzaladığı tam parametreleri takip ettiğini ve teknik bir "istismar" savunmasına yer bırakmadığını doğruladı. Bu, izinsiz bir ortamda saf bir kullanıcı hatası vakasıydı.
Para Nereye Gitti?
Topluluk için en acil soru, kaybedilen 50 milyon doların gerçekte nereye gittiğidir. Fonların tek bir cüzdana taşındığı bir hack olayının aksine, bu sermaye çeşitli kanallar aracılığıyla Ethereum ekosistemine dağıldı:
- MEV Botları: Maksimum Çıkarılabilir Değer (MEV) botları birincil yararlanıcılar oldu. Raporlar, ETH MEV botlarının devasa fiyat farkını yakalamak için işlemi önceden işleterek (front-running) veya arasına girerek (sandwiching) yaklaşık 9,9 milyon doları cebe indirdiğini gösteriyor.
- Likidite Sağlayıcıları: "Kayıp" USDT'nin önemli bir kısmı, takas için kullanılan likidite havuzlarında kalmaya devam ediyor. Bu havuzların diğer tarafında AAVE tutan arbitrajcılar ve sağlayıcılar, tokenlarını büyük bir primle satmış oldular.
- Protokol Ücretleri: İşlem, ilgili protokoller için kabaca 600.000 $ tutarında ücret üretti. Nadir bir iyi niyet gösterisi olarak, hem Aave hem de CoW Swap, bu belirli ücret miktarlarını etkilenen kullanıcıya iade etme sözü verdi.
Kullanıcı Özerkliği ve Koruma Bariyerleri Üzerine Tartışma
Olay, DeFi sektöründe kullanıcı koruması ile "kod kanundur" felsefesi arasındaki denge konusundaki hararetli tartışmayı yeniden alevlendirdi. CoW Protocol, X üzerinden yaptığı açıklamada, koruma mekanizmalarını gözden geçirmelerine rağmen, "kullanıcıların işlem yapmasını engellemek seçim hakkını ortadan kaldırır ve bazı durumlarda korkunç sonuçlara yol açabilir" dedi.
Platform, DeFi kullanıcı deneyiminin (UX) henüz kullanıcıları kendilerinden koruyacak seviyede olmadığını belirtti. Aave arayüzü bir onay kutusu sağlasa da, bir kullanıcının %99,9 kayma ile bir işlemi yürütebilmesi, bazıları tarafından daha katı "sert durdurmalar" veya belirli değerlerin üzerindeki işlemler için zorunlu soğuma süreleri yoluyla ele alınması gereken bir tasarım hatası olarak görülüyor.
Yüksek Riskli Yatırımcılar İçin Zorlu Dersler
Kripto yatırımcıları ve büyük miktarda sermaye taşıyanlar için bu hata, zincir üstü takaslarla ilişkili risklerin kasvetli bir hatırlatıcısıdır. Uzmanlar, benzer felaketlerden kaçınmak için birkaç "en iyi uygulama" önermektedir:
- Kayma Toleransını Kontrol Edin: Kayma limitlerinin daima %0,5 veya %1 olarak ayarlandığından emin olun. Bir işlem bu sınırlar içinde tamamlanamıyorsa, protokol otomatik olarak iptal etmelidir.
- Büyük Emirleri Bölün: 50 milyon doları tek seferde takas etmek nadiren verimlidir. Büyük işlemler, likiditenin yenilenmesine izin vermek için birkaç saat veya gün boyunca daha küçük "dilimlere" bölünmelidir.
- MEV Koruması Kullanın: "Özel" RPC uç noktaları veya özel MEV korumalı toplayıcılar kullanmak, yüksek etkili işlemler sırasında botların değeri sızdırmasını önleyebilir.
Aave Labs sempati dile getirmiş ve kullanıcıyla iletişime geçmeye çalışıyor olsa da, 50 milyon dolarlık kayıp için bir "geri alma" düğmesi bulunmuyor. DeFi dünyasında, kendi bankan olma özgürlüğü, kendi güvenliğini yönetme mutlak sorumluluğu ile birlikte gelir.