Kripto dünyasında, on milyonlarca dolarlık kayıp genellikle bir akıllı sözleşmenin hacklenmesi, kehanetçinin manipüle edilmesi veya protokolün saldırıya uğraması anlamına gelir, ancak bu miktar nadiren bireyler ve tipik DEX ticaret faaliyetlerinde meydana gelir. 13 Mart'ta, bir kullanıcı herhangi bir saldırıya maruz kalmadan, sadece bir zincir üstü işlemle 12 saniye içinde 50.43 milyon dolar kaybetti.

Olaylar çok karmaşık değildi. Bu kullanıcı, 50.43 milyon dolarlık USDT'yi AAVE jetonuna dönüştürmeye çalıştı. Aave arayüzü, kullanıcıya %99'luk bir fiyat etkisi uyarısı verdi ve işleme devam etmek için kullanıcının onay kutusunu işaretlemesini istedi. Kullanıcı, cep telefonu üzerinden onay işaretledi ve işlem gerçekleşti. Sonuç olarak, yalnızca yaklaşık 3.61 milyon dolar değerinde olan 324 AAVE jetonu aldı.

AAVE başına maliyet 154,000 dolar oldu. Piyasa fiyatı sadece 111 dolardı.

Aave Kurucusu Stani Kulechov daha sonra bir tweet atarak sempatisini dile getirdi, işlemden alınan yaklaşık 600,000 dolarlık ön uç ücretini iade etmeyi taahhüt etti ve "bu koruma tedbirlerini nasıl iyileştireceğini araştıracağını" belirtti. Ancak 50 milyon dolarlık kayıp artık bir gerçek haline geldi, zincirde geri alınamaz.

Bu makale, zaten gördüğünüz başlıkları tekrarlamayacak, takip etmek istediğimiz şey ise bu 50 milyon doların nereye gittiği. Kim bu 12 saniye içinde bunun ne kadarını tüketti? Ve biri neden 50 milyon dolarlık bir işlem yapar?

Üç Aşamalı Yol, Kademe Kademe Buharlaşma

Bu işlem CoW Protokolü'nün çözücüsü tarafından yönlendirilen Aave arayüzünün "Teminat Takası" işlevi aracılığıyla başlatıldı. Zincir üstü veriler, işlemin üç adıma bölündüğünü gösteriyor.

İlk adımda, Aave V3'te tutulan aEthUSDT (faizli USDT senedi) 50.43 milyon USDT'ye geri alındı. Bu adım, protokol içi bir geri alma işlemiydi, fonlar tamamen alındı, herhangi bir kayıp olmadı.

İkinci adımda, 50.43 milyon USDT, Uniswap V3'ün USDT/WETH işlem havuzuna yönlendirildi. O zamanın fiyatına göre, bu para yaklaşık 24,600 WETH'e dönüşmelidir. Ancak tek bir emir miktarı, havuzun likidite derinliğinden çok daha fazla olduğundan, gerçekte yalnızca 17,958 WETH elde edildi ve yaklaşık 37.07 milyon dolar değerindeydi. Sadece bu adımda, yaklaşık 13.36 milyon dolarlık bir kayıp yaşandı. Bu kayıplar "kesinti" olarak alınan ücretler değil, fiyat etkisinin doğrudan sonucuydu. Havuza fazla miktarda USDT yatırdığınızda, havuzdaki WETH giderek daha "pahalı" hale gelir, kayma düşüşünde satın alırsınız. Bu fark, havuzdaki likidite sağlayıcıları (LP'ler) tarafından pasif olarak emildi.

Adım üç, ayrıca felaketin kalbidir. CoW Protokolü'nün çözümleyicisi, 17958 WETH'i (3707 milyon dolar değerinde) tamamını SushiSwap üzerindeki bir AAVE/WETH işlem havuzuna itti. Bu havuz ne kadar sığ? Toplam likidite sadece yaklaşık 7.3 milyon dolardır.

3700 milyon doları 7.3 milyon dolarlık bir havuza dökmek, tıpkı tüm Pasifik'i bir yüzme havuzuna dökmeye çalışmak gibidir. AMM (Otomatik Piyasa Yapıcı) fiyatlandırma eğrisi, bu aşırı oranda neredeyse dikey olarak yükselirken, havuzdaki AAVE jetonu her biri 15.4 milyon dolarlık bir astronomik fiyata "alındı", oysa piyasa fiyatı sadece 111 dolardır.

Nihayetinde, 17958 WETH karşılığında 331 AAVE jetonu alındı, değeri yaklaşık 3.67 milyon dolardır. Bu adımın kaybı yaklaşık 3703 milyon dolar olup fiyat etkisi%99.9'dur. Bu 331 AAVE jetonu Aave V3'e geri yatırılarak, kullanıcıya teslim edilmek üzere aEthAAVE'ya dönüştürüldü.

İşlemin genel yolu, üç aşamalı aşamalı buharlaşma olarak basitçe özetlenebilir. İlk sıçrama, Aave V3'ten çıkmayı içerir, 5043 milyon aEthUSDT 5043 milyon USDT'ye dönüşür, kayıp yoktur. İkinci sıçrama Uniswap V3 üzerinden geçer, 5043 milyon USDT 17958 WETH'e dönüşür (değer yaklaşık 3707 milyon dolar), kayıp yaklaşık 1336 milyondur. Üçüncü sıçrama ise SushiSwap üzerinden geçer, 17958 WETH 331 AAVE'ye dönüşür (değer yaklaşık 3.67 milyon dolar), kayıp yaklaşık 3703 milyondur. Toplam kayıp 5039 milyon dolardır. Kullanıcı nihayetinde başlangıç sermayesinin %0.07'sini oluşturan 3.61 milyon doları saklamıştır.

Aave mühendisi Martin Grabina daha sonra Twitter'da geniş çapta yanlış anlaşılan bir kavramı açıklığa kavuşturdu. Projenin temel konusunun "Kayma" (Slippage) değil, "Fiyat Etkisi" (Price Impact) olduğunu belirtti. CoW Araştırması'ndaki fiyatlandırma alanı, komisyon ve kayma miktarı düşüldüğünde, bu işlemin orijinal fiyat teklifinin zaten "5000 milyon USDT'nin 140 AAVE'ye dönüşmediği" şeklinde olduğunu göstermektedir. Bu başlangıçta son derece kötü bir işlemdi. Kullanıcının belirlediği %1.21 kayma toleransı, bu ölçekteki fiyat etkisi karşısında tamamen anlamsızdır.

Kim 12 saniye içinde 5000 milyonu paylaştı?

DeFi dünyasının karanlık ormanında, zincirdeki her işlem herkese açık bir şekilde sunulurken, donanımlı "avcılar" her zaman herhangi bir farklılık değerinden değer çıkarmaya hazırdır. Bu işlem, Ethereum'un MEV (Maksimum Çıkarılabilir Değer) ekosisteminin bütün besin zincirini mükemmel bir şekilde sergilemektedir.

En büyük et parçasını alan kişi Ethereum blok inşa edicisi Titan Builder'dı, yaklaşık 34 milyon dolar. On-chain analist @emmettgallic'in araştırmasına göre, Titan, bu işlemi içeren blokta bulunan bu devasa miktardaki ETH'yi çıkardı ve blok onaylandıktan hemen sonra tüm geliri Coinbase'e transfer etti.

Bu para kaynağını anlamak için, önce Ethereum'un mevcut blok inşa mekanizmasını anlamak gerekiyor. Ethereum'un PoS'a geçmesi ve MEV-Boost sisteminin tanıtılmasından bu yana, blok üretimi iki rol arasında paylaşıldı. Blok inşa edicileri (Builder), blok içindeki işlemleri bir araya getirmekten ve işlem sırasını belirlemekten sorumludur, blok önericileri (Proposer, yani doğrulayıcı düğümler) ise bloğu imzalamaktan ve bloğu on-chain'e iletmekten sorumludur. Builder'lar arasında teklif yarışması yapılır, en yüksek karı sağlayan blok hangisiyse, o blok doğrulayıcı düğümler tarafından seçilme olasılığı o kadar yüksektir.

Titan Builder, şu anda Ethereum'un en büyük blok inşa edicilerinden biri olup Beaverbuild ile birlikte Ethereum'un yaklaşık %90'ını oluşturan blokları inşa etmiştir. Bu işlemde, Titan'ın "Tanrı bakış açısı", blok içindeki tüm işlemlerin sırasını mükemmel bir şekilde planlamasını sağlamış ve fiyat bozulmasından elde edilen değeri maksimize etmiştir. MEV robotları, en iyi işlem pozisyonunu elde etmek için, çoğu arbitraj gelirini Titan'a "rüşvet" olarak vermek zorunda kalmıştır.

İkinci en büyük kazanan MEV Searchers'dır, yani arbitraj robotları, toplamda yaklaşık 12,5 milyon dolara kadar. Bunlar, Ethereum zincirinde 24 saat boyunca bekleyen otomatikleştirilmiş arbitraj programlarıdır, işlem yapılabilir fiyat bozulması keşfedildiğinde anında harekete geçerler.

On-chain analist @CryptoKaleo, bu olaydaki en klasik MEV arbitraj işlemine ulaşmıştır. Bir MEV robotu, aynı blok içinde (12 saniye içinde), risk almadan 9,9 milyon dolarlık bir arbitraj gerçekleştirmiştir.

Bu işlemin mantığı şöyledir. Robot öncelikle bir Flash Loan başlatarak kira sözleşmesinden yaklaşık 29 milyon dolar değerinde WETH borç almış, hiçbir teminat gerekmeksizin sadece aynı işlemde geri vermesi gerekmektedir. Daha sonra, ödünç aldığı WETH'yi Bancor borsasında normal piyasa fiyatından (yaklaşık olarak her biri 111 dolar) AAVE jetonu satın alır. Sonra, kullanıcının büyük işlemi SushiSwap havuzundaki AAVE fiyatını yaklaşık olarak her biri 154,000 dolar seviyesine yükselttiğinden, robot alış fiyatından aldığı AAVE'yi bu bozuk havuza çok yüksek bir fiyattan satarak maliyetin ötesinde WETH elde eder. Son olarak, Morpho'nun Flash Loan'unu geri ödeyerek net 9,9 milyon dolar kazanır. Tüm işlem bir işlemde tamamlanır, sermaye yatırımı sıfırdır, risk sıfırdır.

Bu, DeFi'nin "karanlık orman"ının en acımasız olduğu yerdir. Kullanıcının felaketle sonuçlanan işlemi büyük bir fiyat bozulması yarattı ve robotlar aynı 12 saniyelik blok içinde düşük fiyattan alıp, yüksek fiyattan satış yaparak tam arbitraj döngüsünü tamamladı. Bu büyük arbitrajın yanı sıra, diğer MEV Araştırmacıları da Uniswap V3'te o sıçramada benzer arbitraj işlemleri gerçekleştirdi.

Üçüncü katmanın faydalanıcısı, DEX likidite sağlayıcılarıydı, yaklaşık 200 ila 350 milyon dolar. Uniswap V3 ve SushiSwap havuzlarındaki LP'ler pasif katılımcılar olarak, AMM mekanizması aracılığıyla kullanıcıya aşırı fiyattan token sattılar. Herhangi bir aktif işlem yapmalarına gerek yoktu, algoritma otomatik olarak "ne kadar çok alırsanız, fiyat o kadar yüksek olur" eğrisine göre fiyatlandırma yaptı. Kullanıcının büyük emri, LP'leri ellerindeki WETH ve AAVE'yi piyasa fiyatından çok daha yüksek bir fiyata satmalarına neden oldu.

Dördüncü katman, Ethereum doğrulayıcı düğümleriydi, yaklaşık 120 milyon dolar (yaklaşık 568 ETH). Bu para, Titan Builder'ın hazırladığı "yüksek karlı bloğunun" mevcut dönemdeki doğrulayıcı düğümler tarafından seçilmesini sağlamak amacıyla ödediği sabit teklifti. Doğrulayıcı düğümler için bu sadece normal bir blok önerisi geliri idi, ancak normal bloklardan çok daha cömertti.

Son katman, Aave ön ucu kendisiydi, yaklaşık 60 milyon dolar. İşlemin sonucundan bağımsız olarak, Aave ön ucu entegrasyonu otomatik olarak önyüz ücretini orantılı olarak aldı. Stani Kulechov bu parayı iade etmeye çalışacağını açıkladı.

Bu rakamları topladığınızda, kullanıcının bir Ethereum bloğunda (12 saniye) yaşadığı yaklaşık 50.39 milyon dolarlık zarar, MEV ekosisteminin beş katmanlı sistemik olarak paylaştırıldı. En büyük kazanan, arbitraj fırsatını keşfeden robot değil, işlem sıralamasını kontrol eden blok inşaatçısı Titan Builder idi; robotlardan "rüşvet" alarak ve doğrudan işlem sıralamasından değer çıkararak, kullanıcının toplam zararının %67'sini oluşturan yaklaşık 34 milyon doları tek başına aldı.

Bu, Ethereum'un "karanlık orman besin zinciri"dir. Kullanıcı fiyat bozulması yaratır, MEV robotları bu bozulmayı keşfeder ve kullanır, robotlar büyük kısmı blok inşaatçısına hibe eder, inşaatçı doğrulayıcı düğümlere blok ücreti öder. Katmanlar arası soygun, net iş bölümü, 12 saniye içinde tüm hesaplamalar tamamlanır.

Motivasyon Gizemi

Yayına hazırlandığı zamana kadar, bu cüzdanın (0x98B9D979...1FBF97Ac8) sahibinin kimliği hala bilinmiyordu. Ancak zincirdeki izler ve topluluk analizi birkaç ipucu bıraktı.

@CryptoKaleo, bu işlemin gerçekleştiği gün yeni bir cüzdan adresine, işlemden 20 gün önce Binance'den 50.43 milyon doların tamamı USDT olarak gönderildiğini belirtti. Bu olaydan sonra başka bir giriş olmadı ve felaketle sonuçlanan bu işlem gerçekleştirilene kadar bekleyen bir işlem yoktu.

Ayrıca, bu sıradan bir "coin alımı" işlemi değildi. DeFi analisti YAM, bu işlemin Aave'nin teminat takası (Collateral Swap) işlevini kullandığını belirtti. İşlemin giriş ve çıkışı sırasıyla aEthUSDT ve aEthAAVE idi, yani Aave'deki mevduat belgeleri, standart USDT ve AAVE değil. Bu, kullanıcının muhtemelen Aave protokolünde USDT mevduat pozisyonunu doğrudan AAVE mevduat pozisyonuna dönüştürmek istediği anlamına gelir, yalnızca piyasadan AAVE tokeni satın almak değil.

Bu durum en büyük soruyu ortaya çıkardı. Fonlar Binance'den geldi ve Binance'deki AAVE işlem derinliği herhangi bir zincir tabanlı DEX'ten çok daha fazla. Binance'de 50 milyon dolarlık AAVE satın almak için, kayma olasılığı %1 ila %2'yi geçmemeliydi. Binance'den çekildikten sonra zincirde Aave üzerinden işlem yapmak, neredeyse en düşük verimlilikle ve en yüksek maliyetle gerçekleştirilebilecek bir yoldur.

Topluluk, buna çeşitli tahminler yürüttü. Bazıları bunun vergi planlaması olabileceğini düşünüyor. Bu kullanıcı, merkezi bir borsada işlem gören ancak vergilendirilen bir yargı bölgesinde bulunabilir, ancak DeFi işlemlerinin vergiden muaf veya izlenmesinin zayıf olduğu bir yere sahip olabilir. Binance'den çekildikten sonra zincir üzerinde işlem yaparak, merkezi bir borsada vergilendirilecek bir işlem kaydı oluşturmadan kaçınmaya çalışabilir.

Topluluk üyeleri ayrıca bunun bir tür otomatik işlem betiği veya botun yanlışlıkla, insan onayı olmadan olağandışı bir işlemi onayladığını düşündü. Ancak bu, betiğin neden risk onay kutusunu işaretlediğini açıklayamaz. Bu nedenle, bu muhtemelen bir "yağlı parmak" olayıdır. Aave arayüzü, gerçekten %99'luk bir fiyat etkisi uyarısı verdi, ancak kullanıcı bu uyarıyı cep telefonunda onayladı. Cep telefonu ekranında gerçekleştirilen işlemler, açılan uyarıları ihmal, DeFi mekanizmalarına yeterince hakim olmama gibi faktörler bu felaketi tetikleyebilir.

Geriye dönüp baktığımızda, bu işlemin her aşamasında felaketi engelleyebilecek yollar vardı.

En temel olanı, emirleri bölmekti. 50 milyon dolarlık işlem tek bir işlem olarak gönderilmemeliydi. Profesyonel tüccarlar, büyük emirleri zaman ağırlıklı ortalama fiyat (TWAP) stratejisini kullanarak onlarca hatta yüzlerce küçük işleme bölerek, farklı zamanlarda ve farklı likidite kaynaklarında dağıtılmış bir şekilde gerçekleştirirler. TWAP kullanmasalar bile, sadece 50 adet 1 milyon dolarlık işleme bölünmesi bile zararı bir dereceye kadar azaltmış olacaktır.

İkinci olarak, İslâmiyet emri kullanmaktır. Aave arayüzü entegre Cow Swap, bir limit emir işlevini destekler. Kullanıcı makul bir limit belirlediyse ve piyasa emri yerine limit emri girdiyse, işlem istenilen fiyatı elde edememesi durumunda otomatik olarak iptal edilecektir, felaket fiyatında gerçekleşmeyecektir. Martin Grabina, sonrasında bu konuya özellikle değindi.

Ardından, uyarıları ciddiye almak. Arayüz, %99 fiyat darbe uyarısını gösterir. Bu normal bir "Devam etmek istediğinize emin misiniz?" penceresi değildir. %99, paranızın %99'unu kaybedeceğiniz anlamına gelir. Herhangi bir tutarda işlem yaparken bu sayıyı göz ardı etmek ölümcül olabilir.

Sıklıkla göz ardı edilen bir diğer şey de, on-chain likiditenin büyüklüğünü anlamaktır. AAVE/WETH, SushiSwap'taki likiditeye sadece 73,000 dolarlık katkı sağlamaktadır, bu da birkaç bin dolarlık bir işlemin bile önemli bir fiyat darbesine neden olabileceği anlamına gelir, 37 milyon dolarlık işlem hakkında konuşmaya bile gerek yok. Herhangi büyük bir DEX işleminden önce, hedef havuzun likidite derinliğini kontrol etmek en temel işlemdir.

Son olarak, eğer mutlaka büyük bir işlemi on-chain gerçekleştirmeniz gerekiyorsa, 1inch, Paraswap gibi merkezi olmayan likidite toplama protokolleri tarafından sunulan akıllı yönlendirme işlevini kullanmalısınız, bu protokoller siparişi birden fazla likidite kaynağına böler ve önemli derecede fiyat darbesini azaltır, tüm fonları tek bir yönlendirme yerine sığ bir havuza itmeye dayanmaz.

Merkezi olmayanlık herkese tam bir özgürlük verdi, hata yaptığınızda geri alınamaz bir özgürlük de dahil. Bu müşteri hizmeti telefonu olmayan, işlem iptal düğmesi olmayan bir dünyada, on-chain her tıklama nihai bir karardır.

Ve "Onayla" ya tıkladığınızda, karanlık ormanın avcıları aynı blokta yıldırım hızında kredilerini hazırlamış olacaklar.

BlockBeats Resmi Topluluğuna Katılın:

Telegram Abonelik Grubu: https://t.me/theblockbeats

Telegram Sohbet Grubu: https://t.me/BlockBeats_App

Twitter Resmi Hesabı: https://twitter.com/BlockBeatsAsia