KelpDAO'daki 292 Milyon Dolarlık Saldırı: DeFi Piyasasında 10 Milyar Dolarlık Kaçış

KelpDAO'ya Yönelik Büyük Saldırı

Geçtiğimiz hafta sonu gerçekleşen ve yaklaşık 292 milyon dolarlık kayıpla sonuçlanan saldırı, KelpDAO adlı decentralized finance (DeFi) protokolünde ciddi bir güvenlik açığına işaret etti. Saldırgan, 116.500 rsETH tokenini çapraz zincir köprüsünden boşalttı. Bu tokenlerin piyasa değeri saldırı anında 292 milyon dolar olarak hesaplandı.

rsETH ve Saldırının Mekanizması

rsETH, kullanıcıların Ethereum (ETH) yatırımlarını KelpDAO'nın likit yeniden stake etme sistemine aktarmaları karşılığında verilen bir token türüdür. Bu tokenler, EigenLayer gibi platformlar aracılığıyla yeniden stake edilerek standart stake getirilerinin üzerine ek kazanç sağlar.

Saldırının arkasında yatan teknik detaylar, LayerZero adlı çapraz zincir mesajlaşma ağı üzerinden gerçekleşti. Yılın en büyük DeFi saldırısı olarak kayıtlara geçen bu olayda, saldırgan Unichain ile Ethereum ana ağı arasındaki rotayı hedef aldı. Banteg adlı DeFi geliştiricisine göre, sistem sahte bir mesajı geçerli kabul ederek Ethereum tarafındaki adaptörün önceden fonlanmış rsETH rezervlerini serbest bırakmasına neden oldu.

Saldırının Etkileri ve Piyasa Tepkisi

Saldırının ardından KelpDAO, acil durum çoklu imza cüzdanıyla protokolün çekirdek sözleşmelerini dondurarak ek kayıpların önüne geçti. İlk olarak Tornado Cash üzerinden hareket eden saldırgan, izini gizlemeyi başardı. Ancak çalınan rsETH tokenleri, Base, Arbitrum, Linea, Blast, Mantle ve Scroll gibi ikinci katman ağlarında dolaşmaya başladı.

Bu durum, Aave gibi büyük borç verme protokollerinde de zincirleme bir etki yarattı. Saldırganın çalıntı rsETH'leri teminat olarak kullanması sonucunda Aave'nin fiyat oracle'ları tokenin normal değerine yakın bir seviyeyi göstermeye devam etti. Bu da protokolün 106.467 ETH'yi (yaklaşık 236 milyon dolar) kötü borç olarak kaydetmesine yol açtı.

Aave'de 6 Milyar Dolarlık Düşüş

DeFiLlama verilerine göre, Aave'nin kilitli toplam değeri (TVL) saldırı sırasında 26 milyar dolardan 20 milyar dolara düştü. Bu, platformun tarihindeki en sert çıkışlardan biri olarak kaydedildi. Büyük ETH sahiplerinin hızlı bir şekilde fonlarını çekmesi, saldırının doğrudan bir likidite krizine dönüşmesine neden oldu.

2026'nın En Büyük DeFi Saldırısı

KelpDAO'daki saldırı, yılın en büyük DeFi güvenlik ihlali olarak kayıtlara geçti. Daha önceki büyük saldırılarda yaşanan kayıpları geride bırakan bu olay, DeFi ekosistemindeki güvenlik açıklarının ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Uzmanlar, protokollerin çapraz zincir köprüleri ve oracle sistemleri gibi kritik noktalarda daha sıkı denetimler yapması gerektiğini vurguluyor.

Saldırının Ardından Alınan Önlemler

• KelpDAO: Acil durum protokolü devreye sokularak çekirdek sözleşmeler donduruldu ve ek kayıpların önüne geçildi.
• Aave: Fiyat oracle'larının güncellenmesi ve risk yönetim sistemlerinin güçlendirilmesi için acil incelemeler başlatıldı.
• LayerZero: Çapraz zincir mesajlaşma protokollerinde doğrulama süreçlerinin sıkılaştırılması için çalışmalar yapılıyor.

"Bu saldırı, DeFi protokollerinin sadece teknik güvenliklerini değil, aynı zamanda likidite ve risk yönetimi stratejilerini de sorgulamamız gerektiğini gösterdi." — Banteg, Yearn Finance Geliştiricisi

Piyasaya Genel Bakış ve Gelecek Adımlar

Saldırının ardından DeFi piyasasında yaşanan genel çekilme, kullanıcıların güvenlik endişelerinin ne kadar derin olduğunu ortaya koydu. Uzmanlar, benzer saldırıların önlenmesi için daha şeffaf denetim süreçleri ve çoklu doğrulama mekanizmaları öneriyor. Ayrıca, kullanıcıların da yatırımlarını çeşitlendirmesi ve riskleri dağıtması gerektiği konusunda uyarılarda bulunuyor.