DeFi Neden 48 Saatte 13 Milyar Dolar Kaybetti ve Bundan Sonra Ne Olacak

Rakamlar çarpıcı. Sadece 18 günde 12 ayrı saldırı, DeFi protokollerinden 606 milyon dolar boşalttı. Hasarın %95'i iki olaydan kaynaklanıyor: Solana üzerindeki Drift Protocol hack'i (285 milyon dolar, 1 Nisan) ve Ethereum üzerindeki Kelp DAO köprü saldırısı (292 milyon dolar, 18 Nisan). Birlikte, 2026'da çalınan toplam kripto paranın %75'ini oluşturuyorlar.

Ancak doğrudan kayıplar hikayenin sadece bir kısmını anlatıyor. Asıl kriz bulaşma etkisiydi: 48 saat içinde Aave'den 8,45 milyar dolar çekildi, DeFi TVL Ocak ayındaki 110 milyar dolarlık zirvesinden yaklaşık 82 milyar dolara düşerek %25 geriledi ve "DeFi öldü" ifadesi kripto sosyal medyasında üst üste üç gün trend oldu.

Bu makale ne olduğunu, neden olduğunu ve bundan sonra ne olacağını açıklıyor.

Drift Protocol Saldırısı: Sosyal Mühendislik DeFi ile Buluşuyor

1 Nisan'da saldırganlar, Solana'nın en büyük süresiz vadeli işlemler DEX'i olan ve 550 milyon dolar TVL'ye sahip Drift Protocol'den 285 milyon dolar boşalttı. Saldırının gerçekleştirilmesi 12 dakika sürdü, ancak hazırlık aşaması üç hafta aldı.

Yöntem bir akıllı sözleşme hatası değildi. Saldırganlar kantitatif bir ticaret firması gibi davranarak haftalarca Drift'in Güvenlik Konseyi üyeleriyle güven inşa etti. Solana'nın, işlemlerin daha sonra yürütülmek üzere önceden imzalanmasına olanak tanıyan "durable nonces" özelliğini kötüye kullandılar ve meşru imzacıları, daha sonra protokole karşı kullanılacak uykudaki işlemleri yetkilendirmeleri için kandırdılar.

Kontrolü ele geçirdikten sonra saldırganlar, değersiz bir uydurma token'ı teminat olarak beyaz listeye aldı, 500 milyon birimini yatırdı ve 285 milyon dolar değerinde USDC, SOL ve ETH çekti. Bulaşma 20'den fazla Solana protokolüne yayıldı. Carrot Protocol, TVL'sinin %50'sini kaybettikten sonra basım ve itfa fonksiyonlarını durdurdu. Pyra Protocol ise çekilmeleri tamamen devre dışı bıraktı.

Blokzincir analiz firması Elliptic, saldırıyı DPRK bağlantılı aktörlere bağladı. Bu durum, 2025 ve 2026 boyunca hız kazanan devlet destekli saldırı modeliyle uyumlu.

Kelp DAO Saldırısı: Tek Bir Doğrulayıcı 292 Milyon Doları Kontrol Ettiğinde

On yedi gün sonra, 18 Nisan'da Kelp DAO köprüsü, zincirler arası köprü mimarisinde sistemik bir zafiyeti ortaya çıkaran temelden farklı bir saldırı türüyle 292 milyon dolar için istismar edildi.

17:35 UTC'de bir saldırgan, Ethereum ana ağında 116.500 rsETH bastı. Bu miktar Kelp DAO'nun dolaşımdaki arzının yaklaşık %18'ine, yani yaklaşık 292 milyon dolara karşılık geliyordu. Token'ların hiçbir teminatı yoktu. Sahte LayerZero mesajı, köprü zincirler arası transferleri doğrulamak için tek bir Decentralized Verifier Network (DVN) kullandığı için onaylandı.

Saldırgan, o tek doğrulayıcının altyapısını ele geçirerek işlemleri kontrol etmek için kullandığı sunucuları zehirledi. İkinci bir doğrulama katmanı olmadığından, köprü sahte mesajı meşru olarak kabul etti ve teminatsız rsETH'yi Ethereum'a serbest bıraktı.

Ardından başlayan suçlama savaşı, DeFi altyapısı hakkında rahatsız edici bir gerçeği gözler önüne serdi. LayerZero, Kelp'in yapılandırma tercihlerini işaret etti. Kelp ise LayerZero'nun kendi hızlı başlangıç kılavuzunun ve varsayılan GitHub şablonlarının geliştiricileri 1-of-1 yapılandırmalara yönlendirdiğini söyledi. İkisi de kısmen haklı: varsayılanlar güvensizdi ve Kelp bunları değiştirmemişti.

LayerZero ardından tek doğrulayıcılı yapılandırmalarla çalışan uygulamalar için artık mesaj imzalamayacağını duyurarak, protokol genelinde çoklu DVN yapılandırmalarına (2/3, 3/5 veya benzeri) zorunlu geçişi başlattı.

Bulaşma: 292 Milyon Dolar Nasıl 13 Milyar Dolara Dönüştü

Kelp DAO saldırısı 292 milyon dolarla sınırlı kalmadı. rsETH, DeFi genelinde teminat olarak yaygın şekilde kullanıldığından, teminatsız token'lar birden fazla protokolde zincirleme bir çöküşü tetikledi.

Aave en ağır ikincil etkiyi yaşadı. Borç verme protokolü rsETH piyasalarını dondurdu, ancak mevduat sahipleri çekilmeye çoktan başlamıştı. 48 saat içinde Aave'den 8,45 milyar dolarlık mevduat çıkışı yaşandı ve TVL'si 26,4 milyar dolardan 17,9 milyar dolara düştü. rsETH teminatsız kalırsa, Aave'nin 230 milyon dolara kadar potansiyel batık borçla karşı karşıya kalacağı tahmin ediliyor.

Mekanizma klasik bir bulaşma örneği. rsETH, düzinelerce protokolde teminat olarak kullanılıyordu. Teminatsız hale geldiğinde, onu teminat olarak kabul eden her protokol potansiyel batık borçla karşı karşıya kaldı. Mevduat sahipleri için rasyonel tepki, doğrudan riski olmayan protokollerden bile çekilmekti, çünkü karşılıklı bağlantıları gerçek zamanlı olarak değerlendirmek zordu.

Sonuç: toplam DeFi TVL yaklaşık 82,4 milyar dolara düştü, bu bir yılın en düşük seviyesi ve 2026 başındaki 110 milyar dolardan %25'lik bir gerileme. Korku ve Açgözlülük Endeksi 27'ye düştü.

Yapısal Sorun: Sistemik Risk Olarak Köprüler

Nisan ayındaki saldırılar köklü bir kalıba uyuyor. Zincirler arası köprüler sürekli olarak DeFi'nin en tehlikeli saldırı yüzeyi olmuştur:

Kelp DAO saldırısı, neredeyse tüm büyük köprü saldırılarıyla aynı temel nedeni paylaşıyor: doğrulama sürecinde tek bir başarısızlık noktası. İster ele geçirilmiş bir multisig (Ronin), ister eksik bir doğrulama kontrolü (Wormhole), ister tek bir DVN (Kelp) olsun, kalıp aynı. Köprü güvenliği doğrulama yedekliliğine bağlı ve protokoller sürekli olarak yetersiz yedeklilikle piyasaya çıkıyor.

Kuzey Kore devlet destekli hackerlar, Drift ve Kelp DAO saldırıları aracılığıyla yalnızca Nisan 2026'da kriptodan tahminen 577 milyon dolar çaldı. Bu saldırıların karmaşıklığı artıyor: Drift'in sosyal mühendislik yaklaşımı ve Kelp'in altyapı ele geçirmesi, her ikisi de haftalarca hazırlık ve derin teknik bilgi gerektirdi.

Bundan Sonra Ne Olacak: Güvenlik Standartları ve Toparlanma

Sektörün tepkisi önceki döngülere kıyasla daha hızlı oldu. Birkaç somut değişiklik zaten devam ediyor.

LayerZero'nun zorunlu çoklu DVN politikası en belirgin başarısızlık modunu ortadan kaldırıyor. 1-of-1 doğrulayıcı yapılandırmaları için mesaj imzalamayı reddederek LayerZero, şu anda güvensiz yapılandırmalarla çalışan entegratörlerin %40'ını yükseltmeye zorluyor. Bu en etkili tek değişiklik olsa da tüm saldırı vektörlerini engellemiyor.

Aave'nin yönetişim önerileri, likit yeniden stake token'larının (LRT) teminat olarak yapısal riskini ele alıyor. Olay, DeFi borç verme protokollerinin değeri harici köprü bütünlüğüne bağlı LRT varlıkları için yetersiz risk parametrelerine sahip olduğunu ortaya koydu.

Gerçek zamanlı izleme iyileşiyor. Blockaid ve Chainalysis gibi zincir üstü güvenlik firmaları saatler içinde teknik olay raporları yayımladı ve birçok protokol, manuel müdahale gerekmeden tetiklenen otomatik devre kesiciler uygulamaya aldı.

Düzenleyici baskı artıyor. Nisan ayı kayıpları, zorunlu DeFi güvenlik denetimleri çağrılarına ivme kazandırıyor. Mart 2026'da oluşturulan SEC-CFTC çerçevesi halihazırda yargı yetkisi temeli sağlıyor ve Kelp DAO olayı düzenleyicilere güvenlik standartlarının neden önemli olduğuna dair somut bir örnek sunuyor.

Toparlanma Görünümü

Tarihsel veriler bir miktar iyimserlik için zemin sunuyor. 2022'deki Wormhole hack'inden sonra DeFi TVL yaklaşık %15 düştü ve bir ay içinde kaybın %80'ini geri kazandı. Mevcut Korku ve Açgözlülük okumasının 27 olması daha kırılgan bir psikolojiyi gösteriyor ve bu durum toparlanmayı tipik dört ila altı haftalık sürenin ötesine uzatabilir.

Birkaç faktör nihai toparlanmayı destekliyor. Kelp DAO olayındaki temel yeniden stake sözleşmeleri başarısız olmadı. EigenLayer delegasyonları bozulmadan duruyor. Ana ağdaki rsETH hala meşru mevduatlarla destekleniyor. Sorun köprüydü, yeniden stake protokolünün kendisi değil.

İzlenmesi gereken kilit metrik Aave'nin yönetişim çözümüdür. Protokol, potansiyel batık borcu düzensiz bir tasfiye olayı olmadan başarıyla yönetirse, güven toparlanmalıdır. Acil durum önlemleri gerekirse veya daha fazla kayıp yaşanırsa, bulaşma derinleşebilir.

Yatırımcıların İzlemesi Gerekenler

Sonrasında yol alan yatırımcılar için üç sinyal en çok önem taşıyor:

Köprü yapılandırma denetimleri. Hangi protokollerin çoklu DVN yapılandırmalarına geçtiğini takip edin. Bu veri zincir üzerinde herkese açık şekilde doğrulanabilir. Hızlı hareket eden protokoller güçlü bir güvenlik kültürünün sinyalini veriyor.

Aave yönetişim sonuçları. Topluluğun rsETH batık borcunu ele alış biçimi, gerçek geliri olan DeFi protokollerinin kara kuğu olaylarını nasıl yöneteceğinin emsal teşkil ediyor.

TVL stabilizasyonu. Büyük borç verme protokollerinden net çıkışlar durduğunda, korku odaklı faz sona ermiş demektir. DefiLlama'dan alınan haftalık DeFi TVL verisi en temiz sinyaldir.

606 milyon dolarlık doğrudan kayıp acı verici. 13 milyar dolarlık korku kaynaklı çekilmeler daha da acı verici. Ancak yapısal değişiklikler, yani zorunlu çoklu doğrulayıcılı köprüler, daha iyi teminat risk parametreleri ve gerçek zamanlı izleme, gerçek bir ilerlemeyi temsil ediyor. DeFi altyapısı stres testinden geçiyor ve ayakta kalan protokoller bundan daha güçlü çıkacak.

Sorumluluk Reddi: Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz. Kripto para yatırımları önemli riskler içerir. Yatırım kararları vermeden önce her zaman kendi araştırmanızı yapın ve nitelikli bir finansal danışmana başvurun.