Kripto para piyasaları, hafta sonunu DeFi tarihinin en karmaşık ve yıkıcı saldırılarından biriyle karşıladı. Siber saldırganlar, farklı blokzincirleri arasında iletişimi sağlayan LayerZero protokolü üzerine inşa edilmiş bir köprüyü manipüle ederek, Kelp DAO’nun ihraç ettiği yaklaşık 116.500 rsETH’i—yaklaşık 293 milyon dolar değerinde—ele geçirdi.
Saldırı sadece Kelp DAO’yu etkilemekle kalmadı; bu protokolü teminat ya da likidite kaynağı olarak kullanan tüm ekosistemi hedef aldı. Güvenlik firması Cyvers, olayı “basit bir protokol suistimalinden ziyade, protokoller arası bir bulaşma olayı” olarak tanımladı.
DeFi sisteminde varlıklar genellikle birbirinin üzerine inşa edilerek “DeFi Legos” denilen bir yapı oluşturur. Kullanıcıların stETH veya cbETH yatırıp karşılığında aldıkları rsETH, diğer platformlarda kredi teminatı olarak kullanılabiliyor. rsETH’in değerinin ya da güvenliğinin sarsılması, bu token’ın dayandığı tüm kredi ve likidite havuzlarını doğrudan tehdit eder.
Aave’den acil müdahale
20 milyar dolardan fazla kilitli varlığa sahip DeFi devi Aave, zararı sınırlamak amacıyla rsETH ile ilgili tüm piyasaları dondurduğunu duyurdu. Bu adım, rsETH üzerinden yeni kredi alınmasını ve mevduat eklenmesini engellemeyi hedefliyor. Duyurunun ardından Aave’nin yerel token’ı, Asya seansında %20 değer kaybetti.
100 milyon dolarlık “ikinci dalga” son anda engellendi
Cyvers Teknik Başkanı Meir Dolev, saldırının çok daha kapsamlı bir hal alabileceğini belirtti. Dolev’e göre, saldırganın ikinci bir hamleyle ek 100 milyon dolar daha çalmasına sadece üç dakika kala, protokolün hızlı bir şekilde kara liste (blacklist) uygulaması sayesinde ek kayıpların önüne geçildi.
Kelp DAO, X üzerinden yaptığı açıklamada ana ağ (mainnet) ve Katman‑2 (L2) üzerindeki bütün rsETH kontratlarını durdurduğunu ve kapsamlı bir soruşturma başlattığını bildirdi. Bu olay, Solana tabanlı Drift projesinin maruz kaldığı ihlalin ardından 2026’nın en büyük DeFi istismarı olarak kayıtlara geçti.
