DeFi dünyası 2026’nın şimdiye kadarki en büyük saldırısını yaşadı. Kelp DAO‘nun LayerZero tabanlı köprüsü sömürülerek 292 milyon dolar değerinde rsETH çalındı. Ancak hikayenin asıl sarsıcı boyutu, saldırganların bu çalınan teminatı Aave‘de kullanarak protokolde yaklaşık 200 milyon dolarlık kötü borç (bad debt) yaratması oldu. Sonuç: Aave’den 6 milyar doların üzerinde para çıkışı, AAVE token’ında yüzde 18’lik düşüş ve DeFi ekosisteminde ciddi bir likidite paniği.
Saldırı: 46 Dakika ve 292 Milyon Dolar
Saldırı 18 Nisan 2026 Cumartesi günü saat 17:35 UTC’de başladı. Saldırgan, LayerZero’nun zincirler arası mesajlaşma katmanını manipüle ederek köprüyü, başka bir ağdan geçerli bir talimat geldiğine inandırdı. Bu aldatmaca, köprünün saldırgana ait bir cüzdana 116.500 rsETH (yaklaşık 292 milyon dolar) transfer etmesine yol açtı. Bu miktar, rsETH’in dolaşımdaki toplam arzının yaklaşık yüzde 18’ine karşılık geliyordu.
Kelp DAO ekibi saldırının başlamasından 46 dakika sonra, saat 18:21 UTC’de acil durum multisig ile temel kontratları durdurdu. Bu müdahale sayesinde yaklaşık 40 bin rsETH’lik (100 milyon dolar) iki ek hırsızlık denemesi engellendi. Ekibin ilk kamuoyu açıklaması ise saldırıdan neredeyse 3 saat sonra, saat 20:10 UTC’de geldi.
Çalınan rsETH’in yaklaşık 250 milyon dolarlık kısmı 106.467 ETH’e dönüştürüldü. Fonların bir kısmının Tornado Cash üzerinden fonlanan adresler aracılığıyla hareket ettirildiği tespit edildi.
Aave Felaketi: Sahte Teminatla 200 Milyon Dolar Borçlanma
Saldırının Aave’ye yansıması çok daha dramatik oldu. Saldırgan, çalınan rsETH’i Aave V3 ve V4’te teminat olarak yatırdı ve karşılığında gerçek WETH (wrapped ether) borç aldı. Piyasalar donmadan önce yaklaşık 196 milyon dolarlık WETH çekildi. Aave’nin toplam kötü borcu 177 milyon dolar ile 236 milyon dolar arasında bir rakama ulaştı.
Saldırganın kullandığı teminat aslında hiçbir zaman rezerv ile desteklenmeyen, köprüden sahte mesajla üretilmiş token’lardı. Aave’nin akıllı kontratlarında bir açık yoktu; protokol tamamen amaçlandığı gibi çalıştı. Ancak teminatın arkasındaki varlık zaten dumura uğramıştı.
Likidite Kaçışı: 5,4 Milyar Dolarlık Çıkış ve Donmuş Havuzlar
Saldırı duyulduktan sonra Aave’den kitlesel para çıkışı başladı. Pazar sabahına kadar 5,4 milyar dolarlık ETH ve WETH Aave’den ayrıldı. WETH havuzunun kullanım oranı yüzde 100’e ulaştı; bu da havuzda kalan mevduat sahiplerinin paralarını çekemez duruma gelmesi anlamına geliyordu. Aave’nin toplam kilitli değeri (TVL) DeFiLlama ölçümlerine göre yaklaşık 6 milyar dolar geriledi.
AAVE token’ı saldırının duyurulmasından sonraki 24 saat içinde yüzde 18’in üzerinde değer kaybetti.
Aave’nin Savunma Hatları ve Umbrella Sigortası
Aave ekibi, Guardian mekanizmasını devreye alarak rsETH piyasalarını tüm dağıtımlarda dondurdu, arz ve borçlanma fonksiyonlarını devre dışı bıraktı. WETH Slope1 için risk parametresi ayarlamaları da önerildi.
Ancak Aave’nin Umbrella sigorta fonunda yalnızca yaklaşık 50 milyon dolar bulunuyor; bu rakam oluşan kötü borcu karşılamaya yetersiz. Bu durum aWETH stakerlarına, WETH tedarikçilerine ve potansiyel olarak stkAAVE sahiplerine kadar uzanan bir zarar şelalesi tetikliyor.
Domino Etkisi: Diğer Protokoller de Tedbir Aldı
Kelp köprüsünün arkasında duran rezervler 20’den fazla blokzincirde sarılmış (wrapped) rsETH’i destekliyordu. Base, Arbitrum, Linea, Blast ve Scroll gibi Layer 2 ağlarında rsETH tutan kullanıcılar artık token’larının tam desteklenip desteklenmediği konusunda belirsizlikle karşı karşıya.
Diğer protokollerin tepkisi hızlı oldu: SparkLend ve Fluid rsETH piyasalarını dondurdu. Lido Finance, rsETH ile pozisyon taşıyan earnETH mevduatlarını durdurdu. Ethena ise önlem amacıyla LayerZero OFT köprülerini askıya aldı.
2026’nın En Büyük DeFi Saldırısı
292 milyon dolarlık kayıp, Kelp DAO saldırısını 2026’nın şimdiye kadarki en büyük DeFi saldırısı haline getirdi. Bu rakam, 1 Nisan’da yaşanan ve yaklaşık 285 milyon dolarlık kayıpla sonuçlanan Drift Protocol saldırısını bir kaç milyon dolar farkla geçti. 2026’nın ilk çeyreğinde DeFi ekosisteminin toplam kayıp tutarı yaklaşık 482 milyon dolara ulaşmış durumda.
Kelp DAO henüz saldırganın köprü doğrulama mantığını nasıl atlattığını açıklamadı. Ekip LayerZero, Unichain, bağımsız denetçiler ve güvenlik uzmanlarıyla birlikte kök sebep analizi yürütüyor.
DeFi’nin Yapısal Sorunu
Kelp DAO olayı, DeFi’nin temel yapısal sorunlarından birini gözler önüne serdi: birleşebilirlik (composability) aynı zamanda bir zayıflık noktası. Aave’nin kendi kodunda hiçbir açık yokken, başka bir protokolün (Kelp ve LayerZero köprüsü) zayıflığı, Aave’yi tarihinin en büyük bad debt olaylarından biriyle karşı karşıya bıraktı.
rsETH, stETH gibi liquid restaking token’ları (LRT), son yıllarda DeFi’nin en popüler teminat türlerinden biri haline gelmişti. Ancak bu olay, böyle karmaşık enstrümanların arkasındaki köprü altyapılarının tek bir zaafının tüm ekosistemi sarsabileceğini bir kez daha gösterdi.
Bir yanıt yazın