KuCoin
Giriş Yap
language_currency
Ana Sayfa
Blog
Crypto Report
Detaylar
img

KelpDAO rsETH Saldırısı: 292 milyon dolarlık LayerZero köprü saldırısı, Aave'de 177 milyon dolarlık kötü borç yarattı

2026/04/20 10:30:03

KelpDAO rsETH Saldırısı: 292 milyon dolarlık LayerZero köprü saldırısı, Aave'de 177 milyon dolarlık kötü borç yarattı

Giriş

Bir tek hata noktası de çapraz zincir köprüsünde 292 milyon dolarlık bir sorun olursa ne olur?
 
18 Nisan 2026 tarihinde, kripto para endüstrisi gerçek zamanlı olarak cevabını buldu. KelpDAO, bir likit restaking protokolü, LayerZero tabanlı köprüsündeki bir zafiyet nedeniyle yaklaşık 292 milyon dolarlık 116.500 rsETH’lik varlık kaybına uğradı. Saldırı sadece tokenleri çalmadı — Aave’in bilançosunda yaklaşık 177 milyon dolarlık kötü borç yarattı ve yatırımcıları paniklendirirken, DeFi topluluğu çapraz zincir finansının temel bir güven sorunu olup olmadığını sorgulamaya başladı.
 

KelpDAO ve rsETH Nedir? Anlama Sıvı Restaking Alanı

KelpDAO, EigenLayer üzerinde inşa edilmiş bir sıvı restaking protokolüdür ve kullanıcıların ETH'lerini protokol aracılığıyla stake etmelerini sağlayarak, stake edilen pozisyonlarını temsil eden bir sıvı token olan rsETH verir. Bu kavram - sıvı restaking - kullanıcıların stake ödülü kazanmaya devam ederken likiditelerini korumalarını sağlar ve yerel stake getirisi ile işlem yapılabilir bir tokenın esnekliğini birleştirir.
 
rsETH tokeni, DeFi protokollerinde teminat olarak kullanılabilmesi nedeniyle popüler hale geldi. Kullanıcılar, KelpDAO aracılığıyla ETH stake eder, rsETH alır ve ardından bu rsETH’i birçok zincirde diğer varlıkları ödünç almak için kullanır. Sorun neydi? Bu çok zincirli işlevsellik, özellikle tek bir noktada arızaya neden olan bir 1-of-1 DVN (Veri Doğrulama Ağı) yapılandırması olan LayerZero’ın köprü teknolojisine dayanıyordu.
 
DeFi'ye yeni başlayanlar için kavram basittir. KelpDAO, kullanıcıların ETH'lerini diğer protokollerde kullanmaya devam ederken staking ödülleri kazanabileceğini vaat etti. Uygulama, köprü altyapısına olan güvene dayanıyordu—bu güven, 18 Nisan'da tek bir kompromizasyona uğramış validator, saldırganın desteklenmeyen rsETH üretmesine izin verdiğinde çöktü. Saldırgan, blok zincirini kendisi halletmedi—başka bir zincirde tokenin var olduğunu söyleyen mesaj doğrulama sistemini manipüle etti.
 

18 Nisan 2026 Saldırısı: Saldırının Nasıl Gerçekleştiği

Saldırı, olay raporlarına göre yaklaşık 46 dakika boyunca aşamalı olarak gerçekleşti. 18 Mayıs 2026 tarihinde 18:52 UTC'de, saldırgan, KelpDAO'nun LayerZero köprü yapılandırmasında bulunan bir hata exploitation etti — özellikle çapraz zincir mesajlarını doğrulayan 1/1 DVN (tek imzalı doğrulama).
 
İşte teknik olarak ne oldu: 
 
 
Aşama İşlem yap Etki
1 Saldırgan, 1-of-1 DVN zafiyetini tespit ediyor Tek bir hata noktası ortaya çıktı
2 116.500 desteklenmeyen rsETH mintlendi Dolaşımdaki arzın ~18%
3 rsETH'yi 20+ zincir arasında köprüleyin Dünya çapında takılı kalan varlıklar
4 rsETH'yi Aave V3'te teminat olarak yatırın 126.000 WETH ödünç alındı
5 Acil durum duraklatmasından önce çıkış gerçekleştiriyor 292 milyon dolar çalındı
 
 
Saldırgan, çalınan rsETH'yi Aave V3'te teminat olarak sundu ve yaklaşık 126.000 WETH (o sırada yaklaşık 236 milyon dolar değerinde) kredi çekti. Bu, hemen kötü borç yarattı - Aave, verilen WETH'ten çok daha az değerde rsETH tutmaktadır.
 
Güvenlik araştırmacıları, şüpheli faaliyetin başlaması ile protokolün durdurulması arasında 46 dakikalık bir pencere olduğunu belirtti. Durdurma daha erken gerçekleşseydi, ek olarak 200 milyon dolarlık potansiyel köprülenen varlık önlenmişti. Gecikme maliyetli oldu.
 

Aave Kötü Borç Krizi: 177 milyon dolar ve artıyor

Saldırının sonuçları, ilk çalınmadan çok daha büyük bir kriz yarattı. Aave'nin WETH havuzu şimdi yaklaşık 177 milyon dolarlık kötü borç tutarına sahip - saldırgan, çalınan rsETH'yi teminat olarak kullanarak 126.000 ETH borç aldı ve bu borç şimdi ETH cinsinden sabitken teminatın değeri çöktü.
 
Matematik açık. Saldırgan, rsETH'yi teminat olarak sunduğunda, bunun desteklenmediğini biliyordu. Aave, rsETH'yi her biri yaklaşık 2.500 dolar değerinde geçerli bir teminat olarak gördü. Saldırgan, gerçek WETH ile ayrıldı. Aave, artık teminat olarak neredeyse değersiz olan rsETH'yi tutuyor.
 
Aave'in yönetimi hızlı bir şekilde yanıt verdi:
 
  • V3 pazarlarında tüm yeni rsETH yatırımları durduruldu
  • Aave Guardian acil yetkilerini etkinleştirdi
  • Kötü borç geri kazanımı hakkında yönetim tartışmaları başladı
  • Aave TVL, 26,4 milyar dolarlık değerden 20,7 milyar dolara düştü — kilitli toplam değerde %25lik bir düşüş
 
KelpDao hack sonrası Aave TVL, 26,4 milyar dolarlık değerden 20,7 milyar dolara düştü - kilitli toplam değerde %25'lik bir düşüş.
 
Aave'de WETH yatıranlar için durum kritik. Kötü borç, kurtarılma gerçekleşmezse yatırımcıların fonlarının risk altında kalmasına neden oluyor. Aave yönetimi, Umbrella protokolü ve Aave hazinesi aracılığıyla kurtarma seçeneklerini araştırıyor, ancak bu metnin yazıldığı ana kadar net bir çözüm ortaya çıkmadı.
 
Saldırgan, çalınan rsETH’i kullanarak Aave’dan 82.600’dan fazla ETH (yaklaşık 195 milyon dolar) kredi çekerek, ETH fiyatındaki artışla treasury rezervleriyle kapatılması daha zor hale gelen kötü borç oluşturdu.
 
 

Çapraz Zincir Köprü Güvenlik Açıkları: Sistemik Bir Sorun

KelpDAO sızıntısı izole bir olay değil - 2026 yılına kadar gerçekleşen en büyük DeFi hırsızlığıdır ve endüstriyi yıllardır rahatsız eden köprü zafiyetlerinin bir kalıbını takip etmektedir. 2022'deki Ronin Köprüsü ($625M) ile 2023'teki Multichain'e kadar, çok zincirli köprüler, DeFi altyapısındaki en zayıf halka olarak sürekli kanıtlanmıştır.
 
Temel sorun mimaridesir. Çapraz zincir köprüleri, mesaj doğrulama sistemlerine güven gerektirir. Bir köprü, Chain A'da bir token olduğunu Chain B'ye bildirdiğinde, bu mesaj yalnızca doğrulama mekanizmasının güvenilirliği kadar güvenilirdir. KelpDAO saldırısı, 1-of-1 DVN yapılandırmasını kullanmıştır — kullanıcı fonlarının yüz milyonlarca dolarını yöneten bir protokol için asla uygulanmaması gereken tek bir hata noktası.
 
Endüstri tepkileri karışık olsa da, desen net:
 
 
Yıl Olay Kayıp Kök Neden
2022 Ronin Köprüsü 625 milyon $ Özel anahtar ihlali
2023 Çok zincirli 130 milyon $ Çok imzalı hata
2024 Çeşitli köprüler 400 milyon $+ Çoklu
2026 KelpDAO 292 milyon $ 1-of-1 DVN hatası
 
 
KelpDAO durumu özellikle endişe verici çünkü zafiyet, LayerZero mimarisinde biliniyordu ancak hasar oluşana kadar protokol düzeyinde ele alınmadı.
 

Justin Sun’un Müdahalesi ve Kurtarma Çabaları

Bir sıra dışı hamleyle, TRON kurucusu Justin Sun, KelpDAO saldırganıyla görüşmeye açık olduğunu kamuoyuna duyurdu. Sun, X'te (eski Twitter) şöyle yazdı: “KelpDAO hakeri, ne kadar istiyorsun? Hadi konuşalım. Aave ve KelpDAO'nun ikisini de bu hack nedeniyle kaybetmek gerçekten değmez.”
 
Justin Sun, KelpDao hakerliğine yorum yaptı
 
Saldırgan, yaklaşık 126.000 ETH kredi çekerek ETH cinsinden sabit bir borç oluşturdu. ETH fiyatı arttıkça, Aave'nin kassası ve Umbrella protokolü üzerindeki borç yükü de artıyor. Sun'un müdahalesi, daha geniş ekosistemin endişesini yansıttı - bu sadece KelpDAO veya Aave ile ilgili değildi, DeFi boyunca kredi piyasalarını etkileyebilecek sistemik bir krizi önlemekti.
 
Çalınan rsETH, birden fazla ağda işaretlendi ve donduruldu. Saldırgan, önemli miktarda ETH kontrol altında tutuyor ancak pozisyonlarını kolayca kapatamıyor; bunu yaparsa dondurma ve soruşturmalar tetikleniyor. Bu durum, bir çatışma yaratıyor — saldırganın kağıt üzerinde değeri var, ancak işbirliği olmadan bunu gerçekleştiremiyor.
 

rsETH Saldırısından Sonra KuCoin'de AAVE'ye Yatırım Yapmalı Mıyım?

KelpDAO olayından sonra her DeFi yatırımcının aklında bulunan soru budur. Aave, DeFi'deki en büyük kredi protokolüdür ve bu istismar, birçok kişinin çözüldüğünü düşündüğü zafiyetleri ortaya çıkarmıştır. İşte dürüst değerlendirme.
 

Dikkat Edilmesi Gereken Nedenler

  • Kötü borç belirsizliği: Aave'ın WETH havuzunda $177M değerinde kötü borç bulunuyor ve geri kazanım zaman çizelgesi belirsiz.
  • TVL düşüşü: %25 TVL düşüşü, güvenin zayıfladığını gösteriyor
  • Çapraz zincir riski: Aave, çapraz zincir varlıklar için üçüncü taraf köprüleri kullanır - herhangi bir köprü zafiyeti, maruziyet yaratır
  • Yönetimsel belirsizlik: Kurtarma önerileri hâlâ tartışılmaktadır, garanti edilmiş bir sonuç yoktur
  • Piyasa duygusu: AAVE fiyatı, piyasa potansiyel kayıpları dahil ederken yaklaşık %10 düştü
 

AAVE'yi Dikkate Almanın Nedenleri

  • Pazar lideri pozisyonu: Saldırıya rağmen Aave, hakim kira protokolüdür
  • Kurtarma potansiyeli: Aave hazinesi ve Umbrella protokolü, doğru şekilde uygulanırsa kayıpların kısmen kapatılması için kaynaklara sahiptir.
  • DeFi gerekliliği: Kredi protokolleri temeldir - bireysel protokol sorunlarından bağımsız olarak talep mevcuttur
  • Tarihsel direnç: Aave, önceki istilalar ve piyasa krizlerini aştı
  • Yönetim yanıtı: Hızlı durdurma ve yönetim etkinleştirme kriz tepki kapasitesini gösteriyor
 

Risk Değerlendirmesi Özeti

KelpDAO istismarı, sadece köprü kullanıcılarını değil, maruz bırakılan protokollere teminat sağlayan herkesi etkileyen çapraz zincir açıklarını içeren yeni bir DeFi riski dönemi temsil ediyor. Aave için doğrudan etki, kalan TVL'nin $20,7 milyarına karşı yaklaşık $177 milyon kötü borçtur ve bu, toplam yatırımların yaklaşık %0,85'ini tehdit eder.
 
Ana soru: Bu düzeyde protokol riskini kabul edebiliyor musunuz? Aave'e yatırma yapıyorsanız, diğer ödünç alanların teminat seçimlerine maruz kaldığınızı anlayın. Saldırgan, Aave'in doğrudan yatırma zafiyetini değil, teminat sistemini kullanmış olsa da, yatırımcılar üzerindeki etki benzerdir - fonları şimdi kurtarma müzakereleri sırasında risk altındadır.
 

AAVE'yi KuCoin'de Nasıl İşlem Yaparsınız

Exploit sonrası KuCoin'de AAVE ile işlem yapmaya karar verenler için pratik rehber.
 

Adım 1: Riski anlayın

AAVE, istismardan sonra önemli bir volatilite yaşıyor. İyileşme haberlerine göre fiyat %10-20 oranında her iki yönde de hareket edebilir. Kaybetmeyi göze alabileceğiniz sermayeyle veya uzun süreli volatilite boyunca tutabileceğiniz sermayeyle işlem yapın.
 

Adım 2: İşleminizi gerçekleştirin

KuCoin'de trading arayüzünde “AAVE/USDT” arayın. Bu dönemde işlem hacimleri yüksektir ve hem piyasa hem de limit emirleri için likit piyasalar sunar.
 

Adım 3: Pozisyon Boyutunu Dikkate Alın

Sürekli belirsizlik nedeniyle, normalden daha küçük pozisyon büyüklükleri düşünün. %10 fiyat düşüşü zaten gerçekleşti, ancak iyileşme süresi hâlâ belirsiz. Zaman içinde pozisyonlara dolar maliyet ortalaması yapmak, zamanlama riskini azaltır.
 
 

Sonuç

KelpDAO rsETH sızıntısı, $292M'lık hırsızlık nedeniyle değil, çapraz zincir altyapısı hakkında ortaya koyduğu şeylerle 2026'nın en büyük DeFi olayı olarak kalıyor. Tek bir doğrulayıcı, saldırganın 20'den fazla zincirde desteklenmeyen token'lar üretmesine ve bunları Aave'de teminat olarak kullanmasına izin verdi.
 
Aave'de şu anda yer alan 177 milyon dolarlık kötü borç, DeFi'nin sistemik risk zincirlerini vurgulamaktadır. Protokol bileşenlilik kullanıcılar için fayda sağlarken aynı zamanda protokoller arası sınırları aşan hata modları da yaratmaktadır. Çok zincirli köprüler, tek bir hata noktası yapılandırmalarını çözen mimari reformlar yapılmadığı sürece endüstrinin en zayıf bağlantısı olmaya devam edecektir.
 
DeFi katılımcıları için ders, alandan vazgeçmek değil; riskleri daha net anlamaktır. Saldırgan, kolayca likidasyonu mümkün olmayan 292 milyon dolarlık işaretlenmiş varlıklara sahiptir. Özellikle Aave için, kurtarma, yönetim tarafından finanse edilen mekanizmalarla gerçekleşir ve kesin bir zaman çizelgesi garanti edilmez. Protokol, önceki zorlukları aştı, ancak bu olay, sürekli yapısal bir yanıt gerektiren sınırlamaları ortaya çıkardı.
 

SSS

ETH'm Aave'de KelpDAO istismarından sonra güvenli mi?
Aave'nin WETH havuzunda 177 milyon dolarlık kötü borç bulunuyor, ancak bu toplam TVL'nin ($20,7 milyar) %1'inden azını temsil ediyor. Yönetim, kurtarma seçenekleri üzerinde aktif olarak tartışıyor. Kurtarma zamanlamaları ve mekanizmaları hakkında güncellemeler için Aave yönetim duyurularını izleyin.
 
Sıradan rsETH ne oldu?
A: Zincirler boyunca rsETH olarak $292M işaretlenmiş durumda. Saldırgan, bu varlıkları kolayca likiditeye dönüştüremiyor çünkü bu durum dondurulmaları tetikleyecektir. Justin Sun, fonların geri alınması için saldırganla görüşmeye açık olduğunu kamuoyuna duyurdu.
 
S: KelpDAO istilasından kim sorumludur?
A: Teknik analiz, LayerZero’nun 1-of-1 DVN yapılandırmasının istismarına işaret ediyor. Bu, saldırganın çapraz zincir mesajları sahteleştirmesine ve desteklenmeyen rsETH’leri çıkarmasına izin verdi. Güvenlik açıkları, LayerZero’nun temel protokolünde değil, KelpDAO’nun köprü ayarlarında vardı.
 
S: Aave, 177 milyon dolarlık kötü borçları kurtaracak mı?
A: Aave yönetimi, Umbrella protokolü ve hazinede bulunan rezervler aracılığıyla kurtarma sürecini inceliyor. Henüz kesin bir zaman çizelgesi yok. Saldırgan, desteklenmeyen teminat karşılığında 126.000 ETH borç aldı—kurtarma, hakerin işbirliği veya yönetim tarafından finanse edilen bir kapama gerektiriyor.
 
S: Bu istismardan sonra DeFi’den kaçınmalı mıyım?
KelpDAO sızıntısı, çapraz zincir risklerini ortaya koyar ancak tüm DeFi protokollerinin güvenli olmadığını göstermez. Kullandığınız protokollerin köprü yapılandırmalarını inceleyin ve çapraz zincir varlıklarına olan maruziyetinizi anlayın. Protokoller arasında çeşitlendirme ve dikkatli pozisyon boyutlandırma hâlâ akıllıca stratejilerdir.
 
 

Sorumluluk Reddi: Bu sayfa, kolaylığınız için AI teknolojisi (GPT destekli) kullanılarak çevrilmiştir. En doğru bilgi için orijinal İngilizce versiyona bakınız.