Bir saldırgan, Kelp DAO'nun LayerZero köprüsünden 116.500 rsETH'yi çaldı ve 2026'nın en büyük DeFi exploitini gerçekleştirerek Aave, SparkLend ve Fluid'de acil dondurma işlemlerini tetikledi.
Kelp DAO, protokolün LayerZero tabanlı çapraz zincir köprüsündeki bir açıktan yararlanan bir saldırgan tarafından 292 milyon dolar değerindeki rsETH'yi kaybetti ve bu, 2026'nın en büyük DeFi exploiti oldu.
18 Nisan'da bir saldırgan, LayerZero'nun çapraz zincir mesajlaşma katmanını manipüle ederek Kelp DAO'nun köprüsünü 116.500 rsETH'yi serbest bırakmaya kandırdı; bu, jetonun dolaşımdaki arzının kabaca %18'ine tekabül ediyor. Drenaj, LayerZero'nun EndpointV2 sözleşmesindeki lzReceive fonksiyonuna yapılan bir çağrı aracılığıyla 17:35 UTC'de saldırgan kontrollü bir adrese gerçekleşti.
Kelp'in acil durdurma multisig'i, protokolün temel sözleşmelerini 46 dakika sonra 18:21 UTC'de dondurdu. 18:26 ve 18:28 UTC'deki iki ardışık deneme, her biri yaklaşık 100 milyon dolar değerinde 40.000 rsETH taşıyan LayerZero paketleri içeriyordu ve dondurma tarafından engellendi. Saldırgan ilk cüzdanı finanse etmek için Tornado Cash'i kullandı ve daha sonra çalınan rsETH'yi Aave V3'te teminat olarak kullanarak ETH ve WETH ödünç aldı, ardından gelirleri tekrar Tornado Cash üzerinden yönlendirdi.
Exploit bu yılın en büyük DeFi güvenlik olayı ve Drift protokolü hackini birkaç milyon dolar açıdan geride bırakıyor. Daha kritik olarak, drenaj, 20'den fazla ağ arasında rsETH jetonunu destekleyen rsETH rezervlerini etkiledi ve bu da katman 2 zincirlerdeki rsETH'nin ödeme gücü hakkında sorular ortaya çıkardı.
Aave, SparkLend, Fluid ve Upshift, saatler içinde rsETH ilişkili piyasaları bir önlem olarak dondurdu. AAVE jetonunun fiyatı sonrasında kabaca %10 düştü. Olay, Wormhole ve Ronin exploitleri gibi geçmiş yıllardan beri DeFi için yinelenen bir zayıf nokta olan çapraz zincir köprüsü güvenliği tartışmasına yeni bir baskı ekliyor. Zincir üzeri araştırmacı ZachXBT exploiti erken dönemde işaretledi ve saldırganın Ethereum DeFi borç verme piyasaları arasındaki hareketlerini takip etti.
Kelp DAO henüz olay sonrası analiz yayınlamadı veya bir kurtarma planının devam ettiğini açıklamadı. Temel sorular artık, protokolün fon iadesi için müzakere edip edemeyeceği (geçmişte bazı saldırganlar bunu yaptığı gibi) ve Aave'nin diğer borç verme protokollerinin saldırganın borç alma pozisyonları tarafından yaratılan potansiyel kötü borçları nasıl ele alacağı. LayerZero'nun güvenlik modeli de sorgulanıyor, çünkü saldırı Kelp'in kendi akıllı sözleşmelerinden ziyade mesajlaşma katmanından yararlanmıştır.
Bu gelişmekte olan bir hikaye. 292 milyon dolarlık Kelp DAO exploiti, daha geniş DeFi ekosisteми büyümeye devam ederken çapraz zincir köprüsü altyapısında devam eden riskleri vurguluyor. Etkilenen kullanıcılar, fon kurtarma çabaları hakkında güncellemeler için resmi Kelp DAO kanallarını izlemelidir.
Sorumluluk Reddi: Haber içeriği yalnızca bilgilendirme amaçlıdır ve finansal tavsiye olarak değerlendirilmemelidir. Piyasa koşulları hızla değişebilir. Her zaman kendi araştırmanızı yapın.
