Kelp DAO Hacklendi: 293 Milyon Dolarlık Soygun DeFi'nin En Büyük Kabusunu Yeniden Yaşattı

18 Nisan 2026 günü saat 17:35 UTC'de kripto dünyası bir kez daha sarstı. Kelp DAO'nun rsETH köprüsünden tek bir işlemle 116.500 rsETH — o anki fiyatla yaklaşık 293 milyon dolar — sessiz sedasız çıktı. Ve bu sefer sorun kodda değildi.

Köprüden Geçen Tehlike

Kelp DAO, EigenLayer ekosisteminde hızla büyüyen bir liquid restaking token'ı olan rsETH'i 20'den fazla ağa dağıtmak için LayerZero'nun OFT altyapısını kullanıyordu. Saldırı, bu köprünün DVN (Decentralized Verifier Network) konfigürasyonundaki zafiyeti hedef aldı; araştırmacılar ilk bulgularda sorunun bir kod hatası değil, uygulama tarafındaki yapılandırma tercihi olduğuna işaret ediyor. Saldırgan, EndpointV2 üzerinden sahte bir cross-chain paketi geçirerek rsETH çıkışını tetikledi. Kelp ekibinin emergency multisig'i olayı fark edip "pauseAll" komutunu çalıştırması 46 dakika aldı — o 46 dakika içinde iki ek 40.000 rsETH'lik çıkış denemesi daha yapıldı, ancak artık geç değildi, revert oldular.

Asıl Hasarı Aave Hissetti

Çalınan rsETH'in hikâyesi bridge'de bitmedi. Saldırgan, elde ettiği token'ları lending protokollerine teminat olarak yatırıp büyük miktarda WETH ve ETH borçlandı. Aave V3 ve V4'teki rsETH piyasaları derhal donduruldu; SparkLend, Fluid ve Upshift gibi protokoller de benzer önlemlere geçti. Çeşitli güvenlik firmalarının tahminlerine göre oluşan "bad debt" — yani artık teminatı olmayan açık borç pozisyonu — 177 ila 200 milyon dolar aralığında seyrediyor. AAVE token'ı haberin yayılmasıyla yaklaşık yüzde 10 değer kaybetti; ETH de birkaç puan geriledi. On-chain izleyiciler (ZachXBT, Cyvers, PeckShield) saldırganın başlangıç fonlarını Tornado Cash üzerinden sağladığını, çalınan varlıkların bir bölümünün ise hızla ETH'e çevrildiğini raporladı.

Bu olay DeFi'nin "lego ekonomisi" diye övündüğü composability özelliğinin ne kadar çift taraflı bir kılıç olduğunu bir kez daha gösterdi. rsETH, kısa sürede çok sayıda protokolde teminat ve likidite aracı haline geldi; bu geniş entegrasyon TVL'yi şişirirken tek bir kırılmanın zincirleme yıkım potansiyelini de katladı. Aave'nin rsETH'i yüksek LTV oranlarıyla kabul etmiş olması, bad debt büyüklüğünü belirleyen en kritik faktörlerden biri oldu.

Bundan Sonra Ne Olur?

En güçlü senaryo şu yönde şekilleniyor: Aave, Umbrella güvenlik modülü veya treasury fonlarıyla bad debt'in bir bölümünü karşılayacak ve kısa vadeli likidite baskısını absorbe etmeye çalışacak. Ancak asıl kalıcı etki fiyat hareketlerinden değil, algı değişikliğinden gelecek. LayerZero tabanlı köprülerin ve genel olarak LRT varlıklarının risk priminin yükselmesi, bu kategoriyi teminat olarak kabul eden protokollerin parametrelerini sıkılaştırmasına yol açacak. Regülatörler de bu tablo karşısında sessiz kalmaz — özellikle bridge ve DeFi kredi ürünlerine yönelik ek denetim talepleri hız kazanabilir.

DeFi tarihinin en büyük bridge saldırılarından biri olma özelliği taşıyan bu olay, bize şunu söylüyor: En iyi yazılmış kod bile yanlış yapılandırılmış bir köprüde işe yaramaz. Güvenlik, artık sadece audit raporlarının değil, konfigürasyon kararlarının da meselesi.