Merkeziyetsiz finans (DeFi), 2022’deki büyük piyasa çöküşünden bu yana görülen en sert düşüşlerden birini yaşıyor. KelpDAO’nun rsETH token’ını hedef alan ve yaklaşık 290 milyon dolarlık kayba neden olan saldırı, aynı zamanda son 24 saatte en büyük 20 zincirde toplam 7 milyar dolarlık bir çıkışa yol açtı.
Toplam kilitli değer bir günde %8 eridi
DefiLlama verilerine göre DeFi protokollerindeki toplam kilitli değer (TVL), 24 saat içinde %7.7 oranında düşerek 85.6 milyar dolara geriledi. Bu, dolar bazında 7 milyar dolarlık bir sermaye çıkışına karşılık geliyor.
Sektörün omurgası konumundaki cross-chain altyapı sağlayıcısı LayerZero’nun işlem hacimleri de keskin bir daralma yaşadı. Olay öncesinde yaklaşık 14 milyar dolar olan günlük hacim, saldırının ardından 2-4 milyar dolar bandına kadar gerileyerek DeFi’a olan güvenin ciddi biçimde sarsıldığını gösterdi.
Saldırının merkezi: KelpDAO ve rsETH
18 Nisan 2026 tarihinde gerçekleşen saldırıda, KelpDAO’nun likit yeniden-stake (liquid restaking) protokolünden 290 milyon dolar değerinde varlık boşaltıldı. Saldırganlar, toplam arzın %18’ine karşılık gelen 116 bin 500 adet rsETH token’ını kendi cüzdanlarına aktarmayı başardı.
Analizler, saldırının temel akıllı kontratlardaki bir açıktan değil, cross-chain (zincirler arası) mesaj doğrulama altyapısındaki zayıflıktan kaynaklandığını ortaya koydu.
Aave’ye bulaşan kriz: 6 milyar dolar çıktı
Asıl yıkıcı etki, saldırganların sahte rsETH’lerini teminat olarak kullanarak karşığında Aave üzerinden gerçek ETH almasıyla ortaya çıktı. Sonuç, DeFi tarihinin en ağır likidite krizlerinden biri oldu:
- Aave’den 24 saat içinde yaklaşık 6 milyar dolarlık çıkış gerçekleşti.
- AAVE token’ı, saldırı haberinin ardından %18 oranında değer kaybetti.
- ETH, USDT ve USDC havuzlarında kullanım oranı %100’e dayandı. Kullanıcılar varlıklarını çekemez hale geldi.
- Likiditesi sıkışan kullanıcılar, stabil coin mevduatlarına karşılık 300 milyon dolara yakın acil borçlanma gerçekleştirerek yeni bir baskı dalgası oluşturdu.
Aave kurucusu Stani Kulechov, protokolün akıllı kontratlarının güvende olduğunu ve saldırının tamamen dış kaynaklı olduğunu açıklasa da panik satışlarının önüne geçilemedi.
Yine Kuzey Kore izi
LayerZero’nun yayımladığı ön inceleme raporuna göre saldırı, yüksek olasılıkla Kuzey Kore bağlantılı Lazarus Group’un “TraderTraitor” alt ekibi tarafından gerçekleştirildi. Saldırıda kullanılan teknikler ve zincir üstü davranış örüntüleri, daha önce Radiant Capital ihlaliyle benzerlik gösteriyor.
Analistlere göre Lazarus Group, kripto sektörünün başlangıcından bu yana çaldığı varlıklarla toplamda 7 milyar doları aşan bir “portföy” oluşturdu. Bu rakam, 2025’teki 1.5 milyar dolarlık Bybit saldırısının da etkisiyle hızla büyümeye devam ediyor.
Kelp DAO ile LayerZero arasında sorumluluk tartışması
Saldırının ardından iki taraf arasında kamuoyu önünde sert bir sorumluluk tartışması patlak verdi:
- LayerZero, saldırının ana nedeninin KelpDAO’nun defalarca uyarılmasına rağmen tek doğrulayıcılı (1/1 DVN) yapılandırmada ısrar etmesi olduğunu savunuyor. Şirket, bundan böyle tek doğrulayıcılı hiçbir uygulama için mesaj imzalamayacağını duyurdu.
- Kelp DAO cephesi ise saldırıda ele geçirilen altyapının tamamının LayerZero’nun kendi sunucuları olduğunu, ayrıca LayerZero’nun resmi dokümantasyonu ve dağıtım kodunun tek imzalı yapılandırmayı teşvik ettiğini öne sürüyor. Chainlink topluluk yöneticisi Zach Rynes, X platformundan yaptığı paylaşımda LayerZero’nun “kendi güvenlik hatasını KelpDAO’nun üzerine yıkmaya çalıştığını” iddia etti.
Bu arada TRON kurucusu Justin Sun da tartışmaya dahil oldu ve hackera alenen çağrıda bulundu:
“Ne kadar istediğini söyle, konuşalım. 300 milyon dolar zaten harcanacak bir meblağ değil. Aave ve KelpDAO’yu birlikte batırmanın kimseye faydası yok.”
DeFi sektörü için ne anlama geliyor?
KelpDAO saldırısının ardından pek çok protokol, risk yönetimi süreçlerini acil olarak gözden geçirmeye başladı:
- Çoklu doğrulayıcı (multi-DVN) yapılandırmaları, sektör standardı hâline gelme yolunda.
- Aave başta olmak üzere büyük lending platformları, rsETH ve wETH piyasalarını geçici olarak dondurarak zincirleme etkiyi sınırlama yoluna gitti.
- Kurumsal yatırımcıların kısa vadede cross-chain varlıklara yönelik iştahının azalması bekleniyor.
Olayın bir diğer ayağı ise güvenlik standartlarının geleceği. 2026 yılının henüz ilk çeyreği dolmadan sektörde yaşanan Drift (285 milyon dolar), KelpDAO (290 milyon dolar) ve onlarca küçük ölçekli saldırı, modüler güvenlik paradigmasının ciddi bir sorgulanma dönemine girdiğine işaret ediyor.
Daha Fazlasını Okuyun
