博链BroadChain'in öğrendiğine göre, 22 Nisan 19:46'da, 18 Nisan'da, bir saldırgan Kelp DAO'nun LayerZero yönlendirmesinde yapılandırılmış 1-of-1 DVN ve alternatif doğrulayıcı olmayan güvenlik açığından yararlanarak sahte çapraz zincir mesajları oluşturdu ve bu da sözleşmenin yanlışlıkla 116.500 rsETH serbest bırakmasına neden oldu. Farklı kayıp paylaşım senaryoları altında, Aave'nin karşı karşıya olduğu potansiyel kötü borç aralığı yaklaşık 123,7 milyon ila 230,1 milyon dolar arasında.
Bu sadece 2026'dan bu yana en büyük DeFi güvenlik olayı değil, daha da önemlisi, sektörün verimlilik ve likidite peşinde koşarken güvenliği çok az sayıda varsayılan güvenilir ara katmana aşırı yoğunlaştırdığı mimari varsayımını da çökertti. Bu olay, üst üste binen tek nokta risklerini ortaya çıkardı.
İlk katman doğrulama tek noktasıdır: Kelp DAO, tüm mesajın geçerliliğini "bir doğrulama düğümünün sorunsuz çalışması" varsayımına sıkıştırdı, oysa LayerZero resmi olarak 2/2 veya çoklu doğrulayıcı yedeklilik yapılandırmasını öneriyordu ve bu risk zaten Ocak 2025'te güvenlik araştırmacıları tarafından kamuya açık bir şekilde uyarılmıştı.
İkinci katman rezerv tek noktasıdır: Ana ağ rezerv havuzu bir kez delindiğinde, diğer zincirlerdeki rsETH, aslında tek bir çapa dayalı bir IOU olduğunu ortaya çıkardı. Risk, DeFi'nin birleştirilebilirliği yoluyla yayılarak, Aave'yi yayılmayı durdurmak için birden fazla ilgili piyasayı acilen dondurmaya zorladı. Daha derin sorun ise, bu "güvenliği tek bir noktaya dış kaynak olarak kullanma" mantığının, kullanıcıların günlük etkileşimde bulunduğu arayüzlerde de gizli olmasıdır.
Web3 "Güvenme, Doğrula" ilkesini vurgular, ancak etkileşim düzeyinde, kullanıcılar genellikle işlem anlamını anlama ve çağrı sonuçlarını yargılama işini ön uca bırakarak, gizli bir güven dış kaynak kullanımı oluşturur. Tarihte tekrar tekrar yaşanan ön uç ele geçirme, adres değiştirme gibi kazaların altında yatan sorun aynıdır: kullanıcılar her zaman düşündükleri işlemi imzalamazlar.
Bu, "Doğrulanabilir Kullanıcı Arayüzü" (Verifiable UI) kavramını gündeme getiriyor. Bunun özü ön ucu güzelleştirmek değil, arayüzde sunulan içerik ile zincir üzerindeki gerçek yürütme arasında, kullanıcı tarafından kontrol edilebilen, cüzdan tarafından doğrulanabilen ve sonradan izlenebilen bir bağlantı kurmaktır. Bu, cüzdanların imzalama öncesinde mümkün olduğunca calldata'yı insan tarafından okunabilir, net işlem niyetine dönüştürmesi ve arayüzde açıklanan her adımın zincir üzerinde doğrulanabilir kanıtlarla desteklenmesi gerektiği anlamına gelir.
Etkileşim paradigması, kullanıcının ön uçta adım adım tıklamasından, niyet ifadesi ve sistemin otomatik yürütmesine doğru evrildikçe, arayüzün doğrulanabilirliğinin önemi hızla artacaktır. Agent çağında, yürütme yolları, parametreler vb. daha kolay bir şekilde kullanıcının görüş alanının dışına taşınabilir, verimlilik artışı yeni riskler de beraberinde getirir.
Bu nedenle, bir sonraki nesil cüzdanların sorumluluğu, sadece bir imzalama aracı olmaktan, yürütme öncesi son bir kesinlik kontrol noktasına dönüşmeli, olasılıksal üretim sonuçlarını doğrulanabilir kesin içeriğe çevirmelidir. Kelp DAO olayının tetiklediği tartışma sadece DVN yapılandırması gibi teknik detaylarda kalmamalı. Sektöre, birçok zincir üstü ürünün verimlilik ve getirisinin hala kullanıcıların doğrulayamadığı tek nokta varsayımları üzerine kurulu olduğu konusunda uyarıyor.
Merkeziyetsizlik güvenliğin temelidir ve "doğrulanabilir arayüz", niyet odaklı çağda vazgeçilmez yeni bir güvenlik sınırı olma potansiyeline sahiptir.