Fiyatlar yükleniyor…

RWA oracle saldırıları: Tokenize varlık fiyatları nasıl bozulur?

Tokenize hazine tahvilleri ve özel kredi fiyatları oracle ile okur. RWA oracle’ları yanılabilir, gecikme, depeg ve manipülasyon DeFi tasfiyelerini tetikleyebilir.

RWA oracle saldırıları: Tokenize varlık fiyatları nasıl bozulur?

RWA oracle nedir ve neden önemlidir?

RWA oracle, değeri off-chain bir şeye bağlı olan bir token için fiyat akışıdır: kısa vadeli bir ABD Hazine bonosu, bir şirket tahvili, bir private credit senedi, getiri sağlayan bir mevduat veya hatta parçalanmış bir konut teminatlı kredi limiti. BTC veya ETH’den farklı olarak, burada onlarca yüksek hacimli borsa her saniye işlem yapmaz. Bu referanslar DeFi’nin doğrudan göremediği yerlerde işlem görür. Merkezi bir ihraççı bir değer raporlar, bir yayıncı bir mesaj imzalar, bir blockchain sonucu kesinleştirir. Bu çeviri adımı oracle’dır ve herhangi bir tokenlaştırılmış gerçek dünya varlığı protokolündeki en büyük tekil güven varsayımıdır.

DeFi geliştiricileri ve risk inceleyicileri için pratik soru, oracle’ların felsefi anlamda merkeziyetsiz olup olmadığı değildir. Soru, on-chain fiyatın gerçek bir satıcının alabileceği fiyatla dar bir bant içinde ve birkaç dakika içinde eşleşip eşleşmediğidir. Çoğu RWA oracle’ı NAV’i (net varlık değeri) günde en fazla birkaç kez yayımlar, bazı daha yeni tasarımlar ise Mark-to-market fiyatlarını daha sık yayımlar. Saldırıların çoğunun yaşadığı yer, bu iki sayı arasındaki boşluktur.

Bu önemlidir çünkü tokenlaştırılmış bir T-bill veya kredi senedi teminat olarak kabul edildiğinde, yüz milyonlarca dolarlık lending, perps ve getiri piyasaları buna referans verebilir. 500 milyon dolarlık bir pozisyonda 10 baz puanlık hata, 500 bin dolarlık yanlış fiyatlanmış borçlanma gücü demektir. Likidite sıkışıklığı sırasında %1’lik hata, gerçekte tamamen ödeme gücüne sahip borçluları likide edebilir. Zarar teorik değildir; herhangi bir DeFi oracle arızasıyla aynı patlama yarıçapına sahiptir, sadece dayanak varlık halka açık bir emir defterinde 7/24 işlem görmediği için fark edilmesi daha zordur.

Fiyatın gerçekten yalan söylediği yer: dört başarısızlık biçimi

Real-world-asset oracle’ları dört tekrarlanabilir şekilde başarısız olur. Bunları anlamak, tokenlaştırılmış bir T-bill’i, OUSG veya USDY gibi getiri sağlayan bir stable’ı, FIGR_HELOC gibi tokenlaştırılmış bir kredi ürününü veya BUIDL gibi sarılmış bir hazine ürününü değerlendirmenin tek yoludur.

Bayat fiyatlar ve yavaş yayıncılar

En sıkıcı başarısızlık biçimi, en çok zarara neden olandır. Hazine faizleri, private credit değerlemeleri ve yapılandırılmış ürün fiyatları yavaş güncellenir. Bir NAV yayıncısı günde bir iş günü kez yenileme yapabilir veya yalnızca bir itfa penceresi kapandıktan sonra güncelleme yapabilir. Bir DeFi piyasası bu değeri her blokta okuyorsa, çoğu zaman bayat veri okuyordur. Faizlerin gerçekten hareket ettiği anda on-chain referans, gerçekliğin saatler veya günler gerisinde kalır.

Bayatlık iki tarafta da tehlikelidir. Getiriler keskin yükseldiğinde, hâlâ dünkü NAV’i gösteren tokenlaştırılmış bir T-bill gerçekte olduğundan daha değerli görünür ve borçlular onu pozisyonun değerinden daha fazla teminat olarak gösterebilir. Getiriler çöktüğünde aynı NAV varlığı olduğundan yüksek gösterir ve kreditörler çıkışta krediyi karşılamayacak teminatı kabul etmeye kandırılabilir. NAV’i sapma kontrolleri olmadan canlı fiyat gibi ele alan piyasalar, sessiz aşırı veya yetersiz teminatlandırmaya davetiye çıkarır.

Depeg zincirleri

Depeg ikinci başarısızlık biçimidir ve kullanıcıların gerçekten hissettiği biçim budur. Tokenlaştırılmış bir Hazine ürünü veya getiri sağlayan bir stablecoin’in 1 doları takip etmesi beklenir. İnce bir CEX defterinde 0,97 dolara düştüğünde (veya daha kötüsü, bir itfa kuyruğu sırasında 0,90 dolara indiğinde), çoğu on-chain oracle saatler boyunca NAV’i 1 dolar olarak yayımlamaya devam eder çünkü ihraççının dayanak varlığı değişmemiştir. On-chain piyasa daha sonra wrapper’ı ciddi biçimde yanlış fiyatlar: lending piyasaları teminatı NAV üzerinden değerlerken, gerçekten satılabileceği tek fiyat depeg yaşamış ikincil piyasa fiyatıdır.

Bu noktada iki şey aynı anda olur. Likidatörler depeg yaşamış varlıkta ortaya çıkar ve teminatı bozulmuş fiyattan geçirirken, kreditörler pozisyonun hâlâ tamamen hazine varlıklarıyla desteklendiğine inanır. Sağlıklı kredilere sahip borçlular likide edilir çünkü teminatları iki farklı oracle tarafından iki farklı fiyattan değerlenmektedir ve daha ucuz olan kazanır. Bir hazine depeg’inin DeFi depeg’ine dönüşmesi böyle olur. Böyle bir zincir yapısal olarak bir stablecoin depeg’iyle aynıdır, ancak dayanak defter (T-bill’ler, repo, commercial paper) USD rezervlerinden çok daha az likittir ve bu da toparlanmayı yavaşlatır.

Mark-to-market ile NAV ayrışması

Üçüncü başarısızlık biçimi Mark-to-market ile NAV arasındaki farktır. NAV, dayanağın ihraççı tarafından belirlenen resmi tahakkuk etmiş değeridir. Mark-to-market ise gerçek bir alıcının, itfa gecikmeleri, likidite ve karşı taraf riski için iskonto uyguladıktan sonra, o NAV üzerindeki bir hak için şu anda ödeyeceği fiyattır. Normal zamanlarda bunlar bir veya iki baz puan içinde hareket eder. Stres dönemlerinde sert biçimde ayrışırlar.

7 günlük itfa kuyruğu olan tokenlaştırılmış bir T-bill fonu, Mark-to-market 0,985 dolardan işlem görürken hâlâ NAV’i 1,00 dolar olarak yayımlayabilir çünkü bugün çıkmak isteyen herkes kuyruğu iskonto etmek zorundadır. Piyasa iskontosu olmadan NAV yayımlayan bir oracle, mekanik olarak DeFi’ye yalan söyleyen bir oracle’a dönüşür. Bu iki sayı arasındaki açılma, bir RWA piyasasının sınıra yaklaştığına dair en iyi erken uyarıdır ve kotasyon zaman serisiyle izlenmesi en kolay sinyaldir.

Sığ defter manipülasyonu

Dördüncü başarısızlık biçimi saldırganlar için en elverişli olandır: sığ on-chain defterler. Tokenlaştırılmış bir kredi senedinin veya küçük ölçekli tokenlaştırılmış bir hazine ürününün bir CEX’te ya da tek bir DEX havuzunda 50 bin dolarlık likiditesi olabilir. Bu defteri hareket ettirebilen bir saldırgan, ondan okuma yapan oracle’ı da hareket ettirebilir. Sonra şişirilmiş değere karşı borç alır, lending havuzunu boşaltır ve oracle’ın gerçeğe dönmesine izin vererek kreditörleri kötü borçla baş başa bırakır.

Bu, normal fiyat kaynağı merkezi olan varlıklar üzerinde uygulanan klasik oracle manipülasyonu oyun kitabıdır. Bir LINK veya Pyth feed’i onlarca işlem yerini birleştirip tek havuz oyunlarına direnç gösterirken, küçük bir RWA referans noktası çok daha kırılgandır. Birden fazla kaynaktan fiyat veren bir feed bile likidite birkaç dakikalığına tek bir işlem yerinde yoğunlaşırsa kandırılabilir. Saldırı yüzeyi fiyat kaynağı değildir; fiyat kaynağının arkasındaki likidite varsayımıdır.

Vaka çalışması: USDe bazis işlemi bir yalanı nasıl fiyatladı

2024 sonundaki USDe bazis işlemi, RWA tarzı bir oracle arızasının DeFi boyunca zincirleme yayılmasının yakın dönemdeki en temiz örneğidir. USDe, treasuries ile değil delta-nötr bir sürekli vadeli işlem bazis pozisyonuyla desteklenen sentetik bir dolardır, ancak fiyatlama sorunu tokenleştirilmiş varlık fiyatlama sorunuyla aynıydı. Protokol, sürekli vadeli bacağın işaretlenen fiyattan kusursuz biçimde hedge edildiğini varsayan bir NAV yayımladı. Spot ve sürekli vadeli fiyatlar kısa süreliğine yaklaşık %2 ila %3 ayrıştı. USDe için on-chain fiyat yaklaşık 1 $ bildirmeye devam etti çünkü protokolün iç işareti sürekli vadeli endeksle uyumluydu. Curve ve CEX emir defterleri dahil piyasa gerçekliği, bu kopukluk sırasında USDe'yi 1 $ altında fiyatladı.

Saatler içinde, USDe'yi teminat olarak kabul eden birden fazla DeFi piyasası ya para kaybetti ya da desteği çekti. USDe'yi NAV üzerinden değerleyen Morpho tarzı bir piyasa, gerçek anlamda yetersiz teminatlandırılmış pozisyonlara izin verdi. USDe getirisi üzerine inşa edilen bir Pendle PT, aynı yanlış fiyatlamayı bir katman yukarı taşıdı. Perps üzerindeki likidasyonlar, kendisi spot fiyattan sapmakta olan perp endeksini referans aldı. Gerçek kayıp sınırlıydı ve peg hızla yeniden sağlandı, ancak ders somuttu: gerçekliğin yalnızca birkaç yüz baz puan gerisinde kalan bir oracle bile yığının farklı noktalarındaki teminat ceplerini boşaltmaya yeter.

Bu vaka çalışması genellenebilir. Kanonik fiyat yavaş, tek kaynaklı bir yayıncı tarafından beslendiğinde ve gerçek çıkış fiyatı DeFi'nin göremediği bir yerde işlem gördüğünde, ikisi arasındaki fark saldırganın kârıdır. USDe özellikle temiz bir örnektir çünkü peg kötü niyetli bir aktör tarafından değil, piyasa mikro yapısı tarafından test edildi. Aynı yapı, fark bilerek açılmış olsaydı da geçerli olurdu.

Yanlış fiyatlar lending, PT'ler ve perps üzerinde ne yapar?

Oracle yanlış olduğunda, üç DeFi ilkel yapısı bunu neredeyse aynı anda hisseder: lending piyasaları, Pendle PT gibi getiri ilkel yapıları ve sürekli vadeli işlemler. Her birinin arıza biçimi biraz farklıdır.

Lending piyasaları ve likidasyonlar

Aave, Morpho ve benzeri piyasalar teminatı bir oracle'a karşı gerçek zamanlı değerler. Oracle gereğinden yüksek bir sayı basarsa, borç alanlar teminatlarının değerinden fazlasını çekebilir. Oracle gereğinden düşük bir sayı basarsa, sağlıklı borç alanlar bayat veya sığ bir kotasyonda sağlık faktörleri 1,0'ın altına düştüğü için likide edilir. Tokenleştirilmiş bir Treasury üzerinde, hızlı bir faiz hareketi sırasında bir saatlik bayat fiyat, hiçbir yanlış yapmamış bir borçlu kesimini silebilir.

Şelale şöyle görünür: NAV bayat yayımlanır. Faizler 30 baz puan sıçrar. On-chain treasury token hâlâ eski NAV'dan fiyat verir. Borç alanlar bu treasury'yi teminat olarak yatırır, tam LTV ile stablecoin borç alır. Saatler sonra NAV yeni sayıyı yayımlar, teminat değeri düşer, borç alanların bir kısmı için sağlık faktörü çöker, likidatörler devreye girer ve borç alanlar kaybetmeleri gerekmeyen parayı kaybederken protokol likidasyon ücretleri kazanır. Bunların hiçbiri bir saldırgan gerektirmez. Yalnızca yavaş bir yayıncı ve hızlı bir piyasa yeterlidir.

Pendle PT ve yapılandırılmış getiri

Pendle PT (principal tokens), getiri üreten bir pozisyonu sabit getirili bir PT'ye ve değişken getiriye böler. PT, dayanak getiri kaynağına göre fiyatlanır. Dayanak bir tokenleştirilmiş Treasury veya getiri üreten bir stable ise, PT'nin adil değeri dayanağın fiyat varsayımlarına bağlıdır. Bayat veya yanlış NAV doğrudan PT yanlış fiyatlamasına akar: NAV abartıldığında PT'ler pahalı, NAV olduğundan düşük gösterildiğinde ucuz işlem görür. PT'leri dayanakla veya perps ile hedge eden likidite sağlayıcıları, USDe bazis kopukluğuyla tamamen aynı biçimde bazis farkından para kaybeder.

Son kullanıcı için bu, temiz bir sabit getiri sandıkları bir getiri ürününün içine yönlü bir bahis gömülü bazis işlemine dönüşebileceği anlamına gelir. UI üzerindeki getiri çizgisi değişmemiş görünebilir çünkü dayanak NAV hareket etmemiştir; gerçekte ise çıkış değeri hareket etmiş ve PT yeniden fiyatlanmıştır.

Sürekli vadeli işlemler ve Hyperliquid tarzı emir defterleri

Perps, kötü RWA fiyatlarının en kırılgan tüketicisidir. Tokenleştirilmiş bir varlık üzerindeki perp piyasası, mark, funding ve likidasyon eşiklerini hesaplamak için varlığın endeks fiyatını referans alır. Endeks ihraççının NAV'ıysa ve dayanak şu anda gerçekten NAV üzerinden itfa edilemiyorsa, mark kurgudur. Bir trader sahte bir referansa karşı short veya long açabilir, pozisyon funding biriktirir ve gerçek bir çıkış fiyatının göründüğü ilk anda, gerçek fiyata karşı doğru şekilde hedge edilmiş insanlara karşı likidasyonlar tetiklenir.

Hyperliquid tarzı emir defterleri bunu daha da ileri taşır. Endeksi merkezi bir NAV yayıncısı olan bir perpetual, varsayılan olarak on-chain bir geri dönüş mekanizmasına sahip değildir. Tek savunma, sapma sınırı, açık bir bayatlık kontrolü ve üç kaynaktan herhangi ikisi örneğin beş dakikadan uzun süre 50 baz puandan fazla ayrışırsa risk ekibinin çekebileceği bir durdurma anahtarı içeren çok kaynaklı bir feed'dir (Chainlink Data Streams, Pyth ve ihraççıdan doğrudan feed birlikte). Traderları kötü bir fiyattan koruyan şey oracle değil, durdurmadır.

Savunma kalıpları: TWAP'ler, sapma sınırları, çoklu oracle yedeği

DeFi'deki her ciddi RWA entegrasyonu artık dört savunma katmanının bir kombinasyonunu kullanıyor. Hiçbiri tek başına yeterli değildir.

Sapma sınırları ve devre kesiciler

Sapma sınırı, son kabul edilen fiyattan X baz puandan fazla uzak olan her yeni oracle fiyatını reddeder. Burada X, gerçekçi hareketleri kapsayacak kadar geniş ve manipülasyonu yakalayacak kadar dar belirlenir. Birçok lending piyasası, yüksek likiditeli varlıklar için %1 ila %3, dar hareket edenler için %0,3 ila %1 sınırlar kullanır. Sınır bir bayatlık kontrolüyle eşleştirilir: N saniye içinde yeni fiyat gelmediyse, piyasa son değeri canlı gibi okumak yerine donar.

Zaman ağırlıklı ortalamalar (TWAP'ler)

Bir TWAP, fiyatı bir pencere boyunca yumuşatır. Bu pencere genellikle volatil varlıklar için 5 ila 30 dakika, RWA referansları için 30 dakikadan birkaç saate kadardır. Pratik etkisi, saldırganı tek seferlik bir sıçrama yapmak yerine manipülasyonu pencere boyunca sürdürmeye zorlamaktır. Tokenleştirilmiş T-bills ve krediler için daha uzun bir TWAP (çoğu zaman saatler) normaldir çünkü dayanak gerçekten bundan daha hızlı hareket etmez.

Çoklu oracle yedeği

En güçlü kalıp, iki veya üç bağımsız feed'den okumak ve bir piyasa yeni fiyatı kabul etmeden önce bunların mutabakatını şart koşmaktır. Chainlink, Pyth ve doğrudan ihraççı feed'i tipik üçlüdür. Herhangi biri medyandan sınırdan fazla saparsa, piyasa aykırı değer üzerinden işlem yapmak yerine durur. Bu yapı hem depeg'leri (ihraççı feed'i 1 $ seviyesinde kalırken ikincil feed'ler kayar) hem de sığ emir defteri manipülasyonunu (bir feed yalan söyler, diğerleri söylemez) yakalar.

Durdurma anahtarları ve governance yanıtı

En iyi oracle yığını bile her off-chain olayı kapsayamaz: bir itfa kuyruğu donar, bir saklama kuruluşu çekimleri durdurur, bir ihraççı abonelikleri askıya alır. Savunma idaridir: risk inceleyicileri çözemedikleri bir ayrışma gördüğü anda piyasayı dondurabilen governance kontrollü bir durdurma. Bu, tüm teknik katmanların etrafına sarıldığı insan katmanıdır. Aynı zamanda geçmiş oracle olaylarında en çok darbe alan protokollerin daha hızlı kullanmış olmayı dilediği katmandır.

RWA oracle riskini akıllıca nasıl takip edersiniz?

RWA oracle riski aynı anda iki saatle hareket eder: DeFi'yi her blokta fiyatlayan on-chain saat ve treasuries, kredi ve yapılandırılmış ürünleri iş günleriyle fiyatlayan off-chain saat. Özellikle aynı anda Morpho, Aave, Pendle PT ve Hyperliquid tarzı perps'e dokunan bir portföyde, ikisini de manuel takip etmek kaybedilecek bir oyundur. Zippfeed, RWA başlıklarını duyarlılık puanlaması (bullish, neutral veya bearish) ve önem derecesiyle öne çıkarır. Böylece depeg'leri, NAV anlaşmazlıklarını ve oracle ayrışmalarını pozisyonlarınıza zincirleme yayılmadan önce fark edebilirsiniz.

Sıkça sorulan sorular

RWA oracle saldırıları yaygın mı?
Gerçek exploit olayları, tokenize varlık likiditesi daha düşük ve hedefler daha küçük olduğu için ETH veya BTC oracle saldırılarına göre daha nadirdir. Ancak hata türleri, yani bayat veri, depeg zincirleme etkileri ve sığ emir defteri manipülasyonu, piyasa stresi dönemlerinde düzenli olarak tetiklenir. Çoğu olay 2024 sonundaki USDe baz ayrışmasına benzer görünür. Hatalı bir fiyat saatlerce kalır, borç verme ve PT piyasaları yanlış fiyatlanır, bazı borçlular veya LP’ler gerçek zarar yazar. Saldırıların kendisi dönemsel olsa da risk süreklidir.
Tokenize T-bill oracle’ı gerçekte nasıl çalışır?
BUIDL veya OUSG gibi tokenize bir T-bill fonu, kısa vadeli ABD hazine tahvillerini zincir dışında tutar, faizi günlük olarak işler ve NAV değerini bir veya daha fazla oracle ağı üzerinden yayımlar. Bu genellikle Chainlink Data Streams ile yapılır, getiri bileşeni için bazen Pyth çapraz referansı da kullanılır. DeFi protokolleri bu NAV değerini teminat fiyatı olarak okur. Dürüst sınırlar nettir. NAV her blokta değil, günde birkaç kez güncellenir ve itfa gecikmesi, Mark-to-market çıkış fiyatının NAV altında işlem görebileceği anlamına gelir. Bu sınırları dikkate almayan bir oracle, tasarımı gereği DeFi’ye yalan söyler.
Aave veya Morpho’da tokenize hazine tahvillerini teminat göstermeli miyim?
BUIDL, OUSG, USDY veya benzer hazine tokenlerini teminat olarak göstermek makul bir strateji olabilir, ancak yalnızca riskleri bilerek. Pozisyon açmadan önce ihraççının itfa kuyruğunu, oracle’ın bayat veri penceresini ve protokolün sapma sınırını kontrol edin. Reel faizlerde 10 ila 30 baz puanlık bir hareket, zincir üstü arayüzünüz aynı NAV değerini gösterse bile sağlık faktörünüzü oynatabilir. Tokenize hazine tahvillerini yavaş güncellenen teminat gibi ele alın ve pozisyon büyüklüğünü, bayat bir fiyatın sizi birkaç dakika içinde tasfiye edemeyeceği şekilde ayarlayın.
Bir RWA için NAV ile Mark-to-market arasındaki fark nedir?
NAV, ihraççının dayanak varlıklar için defter kayıtlarından hesapladığı ve belirli bir takvimle, çoğu zaman günlük olarak güncellediği resmi birikmiş değerdir. Mark-to-market ise gerçek bir alıcının o NAV üzerindeki hak için şu anda ödeyeceği fiyattır. Bu fiyat likidite, itfa gecikmesi ve karşı taraf riskine göre iskontolar içerir. Normal dönemlerde araları bir baz puan içinde seyreder. Stres dönemlerinde sert biçimde ayrışırlar ve bu fark, sınıra yaklaşan bir RWA piyasası için en iyi erken uyarıdır. Tokenize hazine tahvillerini ve zincir dışı krediyi değerlerken NAV değerini tavan, Mark-to-market değerini taban olarak ele alın.
İlgili tokenler
$BUIDL $OUSG $USDY $LINK $PYTH $CC $FIGR_HELOC