KuCoin
Giriş Yap
language_currency
Ana Sayfa
Blog
Market Insight
Detaylar
img

KelpDAO Nedir? $292M'lik Hilesi 2026'da Kripto Piyasasını Sarstı

2026/04/28 06:33:02
Özel
Eğer tek bir sahte işlem, bir DeFi protokolünden saatler içinde neredeyse 300 milyon doları boşaltabilseydi — ve ardından 9 diğer platformda zincirleme bir krize neden olsaydı?
 
Bu tam olarak 18 Nisan 2026'da gerçekleşti. Bir saldırgan, Kelp DAO'nun LayerZero tabanlı köprüsünü kullanarak 116.500 rsETH — yaklaşık 292 milyon dolar, bu da tokenin dolaşımdaki arzının yaklaşık %18'ini — boşalttı ve temel kontratların acil durum durdurulmasına neden oldu. Bu olay, Ethereum ana ağından daha fazla 20 Layer-2 ağına kadar yatırımcı güvenini sarsarak 2026'nın en büyük DeFi saldırısı haline geldi.
 
Bunun neden bu kadar önemli olduğunu anlamak için önce KelpDAO’nun aslında ne olduğunu, DeFi’nin en çok bağlantılı ekosistemlerinden birini nasıl inşa ettiğini ve cross-chain altyapısındaki tek bir zayıf bağlantı noktasının tüm sektörün yapısal zayıflıklarını ortaya çıkarmak için yeterli olduğunu anlamalısınız.

Ana Çıkarımlar

  • KelpDAO, EigenLayer üzerinde inşa edilmiş bir sıvı yeniden stake protokolüdür ve kullanıcıların rsETH token'i aracılığıyla varlıklarını likit tutarken stake ödülleri kazanmalarını sağlar.
  • 18 Nisan 2026 tarihinde, saldırganlar bir köprü zafiyetini kullanarak ~292 milyon dolarlık desteksiz 116.500 rsETH tokeni üretti — 2026 yılının en büyük DeFi hırsızlığı.
  • Saldırı, Aave üzerinde sahte teminat olarak çalınan tokenleri kullanan Kuzey Kore'ye ait Lazarus Grubu'na bağlandı ve gerçek ETH'yi boşalttı.
  • En az 9 DeFi protokol etkilenmiştir, Aave'in TVL'si 10 milyar dolar düşmüştür ve Nisan 2026, bir yıldır crypto hırsızlıkları için en kötü ay olmuştur.
  • "DeFi United" adlı bir kurtarma girişimi başlatıldı ve Lido Finance, EtherFi ve Aave kurucusu Stani Kulechov, eksikliği kapatmak için koordine etti.

KelpDAO Nedir?

KelpDAO, kullanıcıların varlık likiditesini kaybetmeden staking getirilerini maksimize etmelerine olanak tanıyan Ethereum üzerine inşa edilmiş bir sıvı restaking protokolüdür. Kelp DAO, ETH’i geleneksel stakingde kilitlemek yerine, kullanıcıların Lido ve Rocket Pool gibi sağlayıcılardan gelen sıvı staking token’larını (LST) EigenLayer aracılığıyla ek getiri elde etmek için restaking etmelerine izin verir.
 
Basitçe ifade edersek, KelpDAO bir "DeFi kuvvetlendirici" olarak çalışır. staked ETH'nizi (stETH veya cbETH gibi) yatırırsınız, protokol bunu EigenLayer operatörlerine devreder ve bunun karşılığında getiri sağlayan bir sıvı restaking tokenı olan rsETH alırsınız.
 

rsETH Nedir?

rsETH, geri yatırılmış pozisyon ve birikmiş getiriye dair bir talebi temsil eden bir tokendir. Nisan 2026 itibarıyla rsETH, TVL açısından 1 milyar doları aşmış ve DeFi'deki çoğu büyük kredi pazarında ve getiri platformunda teminat olarak entegre edilmiştir.
 
rsETH likit olduğu için kullanıcılar bunu işlem yapabilir, bununla ödünç alabilir veya getiri stratejilerinde kullanabilir — aynı zamanda arka planda EigenLayer ödüllerini kazanmaya devam eder. Bu "çift kazanç" mekanizması, KelpDAO'yı ekosistemdeki en popüler likit restaking protokollerinden biri haline getirdi.
 

KelpDAO'nun Ana Özellikleri

KelpDAO, rsETH’i çıkarır ve Gain Vaults’u işletir — Layer-2 ağları için otomatik getiri ve airdrop puanı optimizasyonları. Kullanıcılar, ek getiri elde etmek için ETH, stETH, ETHx ve rsETH’i Gain Vaults’a yatırabilir.
 
Protokol, 10'dan fazla ağda çalışıyor ve istismardan önce toplam kilitli değer (TVL) olarak 2 milyar doları aşmıştı. Aave, Arbitrum, Base, Linea ve Mantle ile entegrasyonlar sayesinde rsETH, DeFi yığını boyunca derinlemesine yerleşmişti.

Nisan 2026 KelpDAO Sızıntısı: Ne Oldu?

Saldırı Vektörü: 1-of-1 Köprü Hatası

Saldırı aşamalı olarak gerçekleşti: saldırganlar, LayerZero'nun doğrulama sistemi tarafından kullanılan RPC düğümlerini ele geçirdi, işlem verilerini manipüle etmek için zararlı ikili dosyalar yaydı, bozulmuş altyapıya geçiş zorunlu hale getiren koordine edilmiş bir DDoS saldırısı gerçekleştirdi ve nihayetinde sistemin desteksiz olarak 116.500 rsETH üretmesine neden oldu.
 
Kritik hata noktası, KelpDAO'nun doğrulama yapılandırmasıydı. Zincir üstü forensik analizler, saldırganın dış RPC'ler üzerinde DDoS saldırısı gerçekleştirirken iç RPC'leri kirleterek, 1-of-1 DVN (Merkeziyetsiz Doğrulama Ağı) doğrulama yapılandırmasını istismar ettiğini açıkladı. Bir doğrulayıcı. Bir hata noktası.
 
Bu, yüzlerce milyon dolarlık bir dolandırıcılık cross-chain işlemini onaylamak için tek bir zararlı node'un yeterli olduğu anlamına geliyordu.

Zaman Çizelgesi

18 Nisan 2026 tarihinde saat 17:35 UTC'de saldırgan, köprüyü istismar etti. Acil durum durdurucu çoklu imzalı cüzdan, 46 dakika sonra, 18:21 UTC'de Kelp DAO'nun temel sözleşmelerini durdurdu. 18:26 ve 18:28 UTC'de sırasıyla iki ekstra 40.000 rsETH çekme girişimi daha yapıldı — her ikisi de geri alındı.
 
Saldırının hızı şaşırtıcıydı. Bir saatten kısa bir sürede, saldırgan sahte tokenlar çıkarttı, bunları Aave'de teminat olarak kullandı ve var olan en büyük DeFi kredi protokolünden gerçek ETH'leri boşalttı.

Köprü Saldırısından Aave Krizine

Saldırı KelpDAO'da durmadı. Saldırgan, Aave'a yaklaşık 90.000 rsETH'yi teminat olarak yatırdı ve Ethereum ile Arbitrum üzerinde yaklaşık 190 milyon dolarlık ETH ve diğer varlıklar kredi aldı. Bu, Aave'a zararlı teminat bıraktı ve kredi verenlerin mevcut fonları çekmek için acele etmesine neden oldu.
 
Aave'in olay raporuna göre, olaydan sonra Aave üzerindeki varlıkların toplam değeri 10 milyar dolar düştü ve toplam kötü borç açıkları 112.000 rsETH'ten fazla olarak tahmin edildi.
 
Pazar günü Asya işlem saatleri sırasında panik yayılınca, Aave'in yerel tokeni %20 düştü.

Ripple Etkisi: Hile Nasıl Geniş DeFi Ekosistemini Etkiledi

9 protokol etkileniyor, 13 milyar dolar çekim yapılıyor

Aave V3, rsETH pazarlarını dondurdu, SparkLend maruziyetini dondurdu; Fluid, Compound, Euler ve diğerleri riski kontrol altına almak için harekete geçti. En az 9 protokol etkilendi. Kullanıcılar, başkalarından önce fonlarını çekmek için acele ettiğinde, DeFi yatırımları 48 saat içinde 13 milyar dolar düştü. Nisan ayında hakerlerin çaldığı her dolar için, DeFi kullanıcıları sistemden yaklaşık 20 dolar daha çekti. Bu büyümeye neden olan etki — bir zafiyetin çok daha büyük bir sermaye kaçışına neden olması — tam olarak köprü saldırılarının ne kadar yıkıcı olduğunu açıklar. Sadece değeri çalmazlar; güveni yok ederler.

rsETH 20'den fazla zincirde mahsur kaldı

Köprü, rsETH'yi 20'den fazla ağda destekleyen rezervleri tuttuğu için, kayıp, Layer 2'lerdeki rsETH'in desteklenmesi konusunda şüpheler uyandırdı ve Aave, SparkLend ve Fluid gibi protokollerde pazar donmalarına neden oldu. Arbitrum, Base, Mantle, Linea ve diğer köprülenmiş zincirlerdeki rsETH sahipleri, Ethereum kasasına 1:1 iddia edilebilirlik garantisiyle geri ödenebilir olmaktan çıkarılmış tokenlere sahip kalmıştı. Çekimler durduruldu ve DEX havuzlarından likidite çekildi.
 

KernelDAO Çapraz Ateşte

KelpDAO, daha geniş KernelDAO ekosisteminin altında faaliyet göstermektedir. KERNEL tokeni, saldırıdan sonraki yedi gün içinde %19,9 düştü. KernelDAO'nun piyasa değeri yaklaşık 20 milyon dolara düştü — protokolün piyasa değeri, TVL'sinden 48 kat daha küçük hale geldi.

KelpDAO Saldırısının Arkasında Kim Var?

KelpDAO, 18 Nisan'da saldırganların, muhtemelen Kuzey Kore'nin Lazarus Grubu olduğu düşünülenlerin, RPC node'larını ele geçirip tek doğrulayıcılı çapraz zincir yapısını kullanarak 116.500 desteksiz rsETH token'i üretmesiyle yaklaşık 290 milyon dolar kaybetti. Kullanılan mesajlaşma altyapısına sahip LayerZero, temel protokolünün sorumlu olmadığını açıkladı.
 
Lazarus Group on bir on yılda kripto para çalmaya devam etti. Yalnızca 2025 yılında, tüm endüstride çalınan her doların yaklaşık %59'unu ele geçirdiler. Nisan 2026'da Drift Protokolünden 285 milyon dolar ve KelpDAO'dan 292 milyon dolar çaldılar ve her iki saldırı da aylarca sosyal mühendislik yoluyla hazırlanmıştı.
 
Bu, tehdit ortamında kritik bir dönüşüm. Immunefi kurucusu Mitchell Amador’un belirttiğine göre, kodun istismar edilmesi zorlaştıkça 2026 yılında hakerlerin ana hedefi insanlar olacak. Köprü altyapısı gerekli olarak bozulmamıştı — doğrulama node’larını çalıştıran insanlar aldatılmıştı.

Nisan 2026: Bir Yıldır En Kötü Kripto Hırsızlığı Ayı

KelpDAO sızıntısı izole bir olay olarak gerçekleşmedi. Nisan 2026, son bir yıldır en kötü ay haline geldi ve 12 olayda 606 milyon dolar çalındı. Bu rakam, Q1'deki tüm sızıntı olaylarının toplamının üç katından fazla ve ay hâlâ bitmedi.
 
Nisan ayına ait diğer olaylar arasında, DEX agregatörü CoW Swap üzerinde 1,2 milyon dolarlık bir alan adı ele geçirme saldırısı, NEAR ağı üzerinde 18,4 milyon dolarlık bir oracle manipülasyonu ve Binance Smart Chain üzerinde 1,6 milyon dolarlık bir flash kredi saldırısı yer aldı. DeFi'nin toplam kilitli değeri, bu sektöru saran güven krizinin ölçeğini yansıtan şekilde, 166 milyar dolaradan 89 milyar dolara düştü.

Kurtarma Çabası: "DeFi United"

Aave ve birkaç büyük kripto firması, saldırganlığın sektörün en büyük krediverenini büyük bir eksiklikle karşı karşıya bırakmasının ardından DeFi pazarlarını stabilize etmek amacıyla "DeFi United" adlı bir kurtarma çabası koordine ediyor. Lido Finance, EtherFi ve Aave kurucusu Stani Kulechov, bu boşluğu kapatmak için ETH sunmayı önerenler arasında yer alıyor.
 
21 Nisan'da Arbitrum'un Ağ Güvenliği Konseyi, saldırıdan elde edilen 30.766 ETH ($71 milyon) değerindeki hırsızlık fonlarını dondurdu ve çalınan varlıkların yaklaşık %25'ini geri kazandı. Geri kazanım yavaş olacak. rsETH'in paritesini tamamen yeniden kurup kuraamayacağı ve KelpDAO'nun ödemeleri yerine getirirken kullanıcı güvenini yeniden inşa edip edemeyeceği, 2026 Q2'ye doğru açık bir soru olarak kalıyor.

Neden köprü saldırıları devam ediyor?

$292 milyonluk Kelp DAO istilası gibi kripto köprü saldırıları, köprülerin blok zinciri aktivitesini tam olarak doğrulamak yerine güvenilen ara varlıklara ve dış veri kaynaklarına dayandığı için devam etmektedir; bu da saldırganlar için kolay manipülasyon fırsatları yaratır. Sorun, sadece hatalar veya yanlışlıklar değil, yapısal bir problemdir.
 
Köprü saldırıları nadiren sınırlı kalır. Köprülenen varlıklar, kredi protokollerinde, likidite havuzlarında ve getiri stratejilerinde kullanılır. Bu varlıklar tehlikeye girdiğinde, hasar yayılır. 1inch ortak kurucusu Sergej Kunz şöyle açıkladı: "Diğer platformlar, hacklenen bir varlığı legítim olarak işleyebilir. İşte bulaşma böyle olur."
 
Çapraz zincir köprüleri, 2021'den beri kripto dünyasında en çok istismar edilen altyapı parçası olmuştur ve bunlardan 2,8 milyar doların üzerinde çalınmıştır — bu, Web3'te çalınan her doların yaklaşık %40'ıdır. KelpDAO olayı bir istisna değildir — yıllardır süren bir yapısal sorunun devamıdır ve sektör henüz kapsamlı bir çözüm sunamamıştır.

DeFi'nin Geleceği İçin What the Hack Ne Anlama Geliyor

DeFi'de güven "azaldı" ve Ledger'ın Güvenlik Danışmanı Charles Guillemet, 2026 yılının "yine en kötü hileler yılı olma olasılığı yüksek" dedi. Ancak tüm uzmanlar iyimser değil. Curve Finance'in Michael Egorov, olumlu yönü kabul etti: "Kripto, hiçbir bankanın hayatta kalamayacağı sert bir ortam — ancak biz bununla çalışıyoruz. Bence DeFi bu olaydan ders çıkaracak ve daha güçlü bir şekilde geri dönecek."
 
KelpDAO hikayesi, çok imzalı köprü tasarımları, çapraz zincir yapıları için zorunlu güvenlik denetimleri ve kredi protokolleri için daha katı teminat kabul standartları hakkında konuşmaları hızlandırıyor. Bu konuşmaların, bir sonraki büyük sızıntıyı önlemek için zamanında gerçek değişikliklere yol açıp açmayacağı, 2026'da DeFi için belirleyici soru.

KuCoin'de DeFi ve Ethereum-ekosistem Token'leri ile Nasıl İşlem Yapılır

KelpDAO haini, likit restaking protokollerinin, ethereum türevlerinin ve DeFi yönetişim tokenlarının nasıl fiyatlandığını ve nasıl alım satım yapıldığını anlamaya olan ilgiyi yeniden canlandırdı. AAVE ile işlem yapmak, ETH volatilitesini izlemek veya restaking ile ilişkili tokenları keşfetmek gibi hızlı hareket eden piyasa olayları etrafında pozisyon almak istiyorsanız, KuCoin bu hikayenin merkezindeki tokenlar için derin likidite sunmaktadır.
 
KuCoin'ın spot ve vadeli piyasaları, rekabetçi ücretlerle AAVE, ETH ve çeşitli DeFi tokenlarını işlem yapmanıza olanak tanır. Platform, aynı zamanda gerçek zamanlı piyasa verileri ve haber uyarıları sunar — özellikle KelpDAO hack gibi kriz olaylarında token fiyatlarının saatler içinde %20 dalgalanabileceği durumlarda çok faydalıdır. Yeni kullanıcılar KuCoin'de kayıt olabilir ve DeFi sektörü gelişmeye devam ederken volatil piyasa koşullarında navigate etmek için tam bir işlem aracı setine erişebilir.
 

Daha Fazla Oku:

Sonuç

KelpDAO, DeFi'nin en ambisyonlu sıvı yeniden stake ekosistemlerinden birini inşa etti ve kullanıcıların rsETH aracılığıyla token likiditesini korurken katmanlı Ethereum getirileri kazanmalarını sağladı. Ancak Nisan 2026'daki köprü sızıntısı, birbirine bağlı bir DeFi ortamında tek bir yanlış yapılandırılmış node'un 292 milyon dolarlık bir zafiyete dönüşebileceğini ortaya koydu.
 
Saldırı — 2026'nın en büyük saldırısı ve Kuzey Kore'nin Lazarus Grubu'na atfedilen bu saldırı — anında 9 protokole yayıldı, Aave'den 10 milyar dolarlık çekim dalgasını tetikledi ve Nisan 2026'yı bir yıldan uzun süredir kripto saldırıları için en kötü ay haline getirdi. "DeFi United" aracılığıyla koordine edilmiş bir kurtarma çalışması devam ediyor; Arbitrum, saldırganın yaklaşık 71 milyon dolarını dondurdu, ancak tam tazminat yolunun belirsizliğini koruyor.
 
Daha geniş kripto piyasası için, KelpDAO olayı hem bir uyarı hem de bir zorlayıcı kuvvettir. Köprü altyapısı, çoklu bağımsız doğrulama katmanları ile yeniden tasarlanmalıdır, kira protokolleri daha konservatif teminat standartlarına sahip olmalıdır ve endüstri, Lazarus gibi devlet destekli hacker gruplarını kalıcı bir rakip olarak görmelidir. Bu krizden ortaya çıkan DeFi ekosistemi — eğer ortaya çıkarsa — muhtemelen daha dirençli olacaktır, ancak oraya giden yol acılı olacaktır.

SSS

KelpDAO, hainin ardından hâlâ faaliyette mi?

KelpDAO, istismarın tespitinden hemen sonra ana ağ ve birkaç Layer-2 üzerindeki temel sözleşmelerini durdurdu. Takım, LayerZero, Unichain, denetçileri ve güvenlik uzmanları ile kurtarma çalışması yaptığını doğruladı. Tam operasyonların yeniden başlatılması, "DeFi United" kurtarma girişiminin sonucuna ve rsETH'in 1:1 pariteyi yeniden kazanıp kazanamayacağına bağlıdır.
 

KelpDAO istilasında LayerZero kendisi mi hacklendi?

LayerZero, temel protokolünün sorumlu olmadığını belirtti. Güvenlik açıklaması, KelpDAO'nun LayerZero'nun çapraz zincir mesajlaşması için özel yapılandırmasıyla ilgiliydi — özellikle saldırganların yararlandığı tek doğrulayıcı (1-of-1 DVN) kurulumu.
 

Hackerlikten sonra rsETH'in değeri ne oldu?

Hacker saldırısından sonra rsETH'in değeri ve sabit kuru ciddi baskı altında kaldı. 20'den fazla zincirde çekimler durduruldu ve likidite DEX havuzlarından kaçtı. Ana ağ rsETH hâlâ EigenLayer'daki legítim kullanıcı yatırımlarıyla destekleniyor, ancak Layer-2 ağlarında köprülenen rsETH, güvenilir 1:1 iade talebini kaybetti ve elde tutanları mahsur bıraktı.
 

DeFi kullanıcıları, gelecekte benzer hakerliklerden nasıl korunabilir?

Kullanıcılar, protokoller arasında maruziyeti çeşitlendirmeli, kredi platformlarında likidite restaking token'larını teminat olarak yoğunlaştırmamalı ve köprü güvenlik açıklamalarını yakından izlemelidir. Çoklu doğrulayıcı köprü tasarımları, aktif hata avcılığı programları ve şeffaf güvenlik denetimlerine sahip protokollere öncelik vermek, köprüye bağlı istismarlara maruziyeti önemli ölçüde azaltır — ancak asla tamamen ortadan kaldırmaz.
 
Sorumluluk Reddi: Bu makale yalnızca bilgilendirme amaçlıdır ve finansal veya yatırım tavsiyesi oluşturmaz. Kripto para yatırımları önemli riskler taşır. İşlem yapmadan önce lütfen kendi araştırmanızı yapın.

Sorumluluk Reddi: Bu sayfa, kolaylığınız için AI teknolojisi (GPT destekli) kullanılarak çevrilmiştir. En doğru bilgi için orijinal İngilizce versiyona bakınız.