Bir saldırgan, Kelp DAO'nun LayerZero köprüsünden 116.500 rsETH çekti; bu durum dokuz protokolde acil dondurmalara ve Aave'de 6 milyar dolarlık TVL düşüşüne yol açtı.
1,57 milyar dolar TVL'ye sahip bir liquid restaking protokolü olan Kelp DAO, 18 Nisan'da bir saldırganın LayerZero destekli cross-chain köprüsündeki bir açığı istismar etmesiyle yaklaşık 293 milyon dolar kaybetti. Bu olay, 2026'nın en büyük DeFi exploit'i oldu.
Saldırgan, LayerZero'nun mesajlaşma katmanı üzerinden sahte bir cross-chain mesajı oluşturarak Kelp'in köprüsünü başka bir ağdan geçerli bir talimat geldiğine inandırdı. Köprü daha sonra token'ın toplam dolaşımdaki arzının yaklaşık %18'ini oluşturan 116.500 rsETH'yi saldırgan tarafından kontrol edilen bir adrese serbest bıraktı.
Dakikalar içinde çalınan rsETH, Aave'nin borç verme protokolüne teminat olarak yatırıldı. Saldırgan, topluluk teminatsız varlıkları fark etmeden önce 200 milyon doların üzerinde wrapped ether borç aldı. Kelp, ilk exploit'ten yaklaşık 46 dakika sonra acil kontrolleri devreye sokarak mevduatları, çekimleri, oracle işlevlerini ve rsETH token'ını dondurdu.
Hasar Kelp'in çok ötesine yayıldı. En az dokuz DeFi protokolü piyasaları dondurmak veya hasar kontrol önlemleri almak için harekete geçti. Aave, toplam kilitli değerde 6 milyar dolarlık bir düşüş kaydetti ve AAVE token'ı, yatırımcıların protokolün borç verme havuzlarındaki teminatsız varlık riskini fiyatlamasıyla %16 düştü.
Bu exploit, cross-chain köprü altyapısındaki kalıcı güvenlik açıklarını gözler önüne seriyor. Yıllarca süren yüksek profilli köprü hack'lerine rağmen, düzinelerce protokolün birlikte çalışabilirliğini destekleyen LayerZero mesajlaşma katmanı, sahte talimatlara karşı savunmasız olduğunu kanıtladı. Olay, liquid restaking protokollerinin birden fazla zincire genişlerken köprü güvenliğini nasıl yönettiklerine dair yeni sorular ortaya çıkarıyor.
Analistler, en gerçekçi kurtarma yolunun hacker ile çalınan fonların büyük bölümünü iade etmesi için %10-15 ödül müzakeresi olduğunu öne sürüyor. Kelp DAO, temel nedeni araştırmak için LayerZero, denetçiler ve güvenlik firmalarıyla çalıştığını belirtiyor. Aave kurucusu Stani Kulechov, Aave'nin kendi akıllı sözleşmelerinin tehlikeye girmediğini doğruladı, ancak V3'teki rsETH piyasaları çözüm beklenirken dondurulmuş durumda.
Bu gelişmekte olan bir haber. Kelp DAO, kurtarma çalışmaları devam ederken kullanıcıları güncellemeler için yalnızca resmi kanalları takip etmeye çağırdı.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Sorumluluk Reddi: Haber içeriği yalnızca bilgilendirme amaçlıdır ve finansal tavsiye olarak değerlendirilmemelidir. Piyasa koşulları hızla değişebilir. Her zaman kendi araştırmanızı yapın.
