KelpDAO'da 292 milyon dolarlık bir istismar, hafta sonu decentralized finans alanında geniş bir gerilemeye neden oldu ve DeFi endüstrisi boyunca yaklaşık 10 milyar dolarlık bir kayıp yaşandı; bunun sonucunda rsETH ile bağlantılı birden fazla protokol pazarları dondurmak zorunda kaldı.
Saldırı, salı günü gece geç saatlerde, bir saldırganın KelpDAO'nun çapraz zincir köprüsünden yaklaşık 116.500 rsETH'i boşaltmasıyla başladı. CryptoSlate verilerine göre, çalınan tokenler o zaman yaklaşık 292 milyon dolar değerindeydi.
KelpDAO, ETH yatıran kullanıcılara rsETH verir. Platform, bu ETH'leri standart staking getirilerinin üzerinde ek getiri elde etmek için restaking platformu EigenLayer üzerinden yatırır.
KelpDAO’nun kaybı, raporda 2026 yılının en büyük DeFi istilası haline geldi ve bu yıl daha önce gerçekleşen saldırıları aştı.
KelpDAO'nun 292 milyon dolarlık bir şekilde istismar edilmesi
rsETH, blok zincirleri arasında talimatları ve varlıkları taşıyan LayerZero adlı çapraz zincir mesajlaşma ağı üzerinden daha geniş piyasada dolaşır.
Yearn Finance temel geliştiricisi Banteg, açıkladı ki sızıntı, Unichain'in ethereum ana ağına bağlanan rotasını hedef aldı.
Zincir içi analistlere göre, saldırgan, sistemin geçerli olarak kabul ettiği sahte bir mesaj gönderdi ve bu da Ethereum tarafındaki adaptörün önceden finanse edilen rsETH rezervlerini serbest bırakmasına neden oldu.
Bu rota, işlemi işaretleyebilecek ikincil doğrulayıcılar olmadan, tekil bir dezentralize doğrulayıcı ağı yolu olarak yapılandırıldı.
Banteng, noncesi 308 olarak tanımlanan zararlı işlemin 17:35 UTC'de doğrulandığını ve iletildiğini belirtti.
Saldırının ardından KelpDAO'nun acil çok imzalı cüzdanı, protokolün temel sözleşmelerini dondurdı. Bu, rsETH'in yaklaşık 100 milyon dolar daha çıkarılmasını sağlayabilecek iki ek girişimi engelledi.
İlk çalınan fonlar, protokolün tepki vermesinden önce hasarı kontrol altına alabilmek için Tornado Cash üzerinden aktarıldı.
Aynı zamanda, boşaltılan rezervlere dayalı sarılmış rsETH, Base, Arbitrum, Linea, Blast, Mantle ve Scroll dahil ikincil ağlar boyunca dolaşımda oldu. Bu rezervler tükenince, Ethereum dışındaki rsETH tutan kullanıcılar, iade ve teminat konusunda artan belirsizliklerle karşılaştı.
Ve bu baskı hızla diğer piyasalara yayıldı.
Aave en büyük darbeyi alıyor
En ciddi deprem, saldırganın çalınan rsETH'yi teminat olarak yatırdığı en büyük kripto borç verme platformu olan Aave'yi vurdu.
Saldırı penceresi sırasında Aave'nin fiyat orakları, rsETH'yi normal paritesi yakınlarında okumaya devam etti ve protokol, zarar görmüş teminat karşılığında 106.467 ETH sundu.
Bu, platformu potansiyel 236 milyon dolarlık kötü borç marjına maruz bıraktı ve çıkışlara yol açtı.
Veri DeFiLlama'dan, kullanıcıların fon çekmesiyle Aave'in kilitli toplam değeri 26 milyar dolardan yaklaşık 20 milyar dolara düştü.
Çekilme, son zamanlarda platformda yaşanan en keskin geri çekilmelerden birini oluşturdu ve bir köprü istismarını DeFi'nin en büyük kira platformu için likidite olayına dönüştürdü.
On-chain analistler, DeFi platformundaki büyük ETH sahiplerinin hareketi hızlandırdığını ortaya koydu.
Bağlamda, TRON kurucusu Justin Sungöre, tek bir işlemde yaklaşık 154 milyon dolar değerinde 65.580'den fazla ETH çekti.
Bu tür çekimler arttıkça, Aave’ın ETH kullanım oranı %100’e ulaştı ve platformdaki tüm mevcut Ether’ler ya ödünç alınmış ya da çekilmiş durumda kaldı.
Ayrıca, baskı Aave’in piyasa fiyatına da sıçradı. AAVE yönetim token’ı, daha derin kayıplar olasılığı dikkate alınarak %18’den fazla düştü.
Bu, büyük AAVE cüzdanlarından gelen yoğun satışlarla kötüleşti. Blok zinciri analiz platformu Lookonchain raporladı ki, smaugvision olarak tanımlanan bir varlık 2,06 milyon dolar karşılığında 20.000'den fazla AAVE sattı, bir diğer yatırımcı ise 2,05 milyon dolar karşılığında benzer bir miktar sattı. Üçüncü bir balina, neredeyse 19.700 AAVE'yi sarılmış Bitcoin ve ETH karşılığında sattı.
Bu sorunlara yanıt olarak, Aave, rsETH pazarlarını hem V3 hem de V4'te dondurdı. Platformun kurucusu Stani KulechovX'te şunu söyledi:
rsETH, Aave V3 ve V4'te donduruldu; bu varlık, Aave dışındaki KelpDAO köprüsü istismarı nedeniyle herhangi bir kredi gücüne sahip değildir. Aave V3 ve V4, rsETH'e daha fazla maruz kalmamaktadır.
Bulaşma, DeFi boyunca yayılıyor
Aave'nin yanı sıra, diğer DeFi protokolleri de saldırı nedeniyle platformlarından önemli çekilişler yaşadı.
0xngmi, DeFiLlama'nın sahte kimlikli kurucusu, olayın DeFi sektöründe 10 milyar dolarlık bir düşüşe neden olduğunu bildirdi. Bu, Aave'den 6 milyar dolarlık çıkışları da içeriyor.
Özellikle DeFiLlama'dan elde edilen verilere göre, DeFi protokollerinin toplam kilitlenen değeri (TVL), 18 Nisan'da yaklaşık 99 milyar dolardan basın saati itibarıyla 89 milyar dolara düşmüştür.
Bu olay, aynı zamanda birkaç DeFi platformunun rsETH tokenına olan maruziyetini azaltmak için hızla harekete geçmesine neden oldu.
DeFi analisti Ignas, Lido, SparkLend, Fluid, Compound ve Euler dahil olmak üzere sekiz ek DeFi protokolünü flagged ve rsETH kredi pazarlarını dondurdular.
O ekledi:
LayerZero'nun da muhtemelen etkilendiğini düşünüyorum, çünkü rsETH, L2'lerden köprülendi, bu yüzden L2'lerdeki bu rsETH'lerin şu anda değersiz olup olmadığını merak ediyorum.
Bu arada, sentetik USDe dolarının geliştiricisi Ethena, önleyici bir önlem olarak LayerZero köprülerini geçici olarak durdurdu ve rsETH'e maruziyeti olmadığını belirtti.
Bu hamleler, rsETH'nin DeFi içinde nasıl yaygın şekilde entegre olduğunu yansıttı; çünkü kredi piyasalarında, kasa ürünlerinde ve düzgün çapraz zincir transferlerine ve rezerv desteğine güvenen teminat stratejilerinde derinlemesine kullanılıyordu.
Bu güven zayıfladıkça, protokoller daha fazla çekim veya fiyat sapmasının hasarı derinleşmesinden önce riski sınırlamak için harekete geçti.
Aynı zamanda, teminat kalitesi sorgulandığında sermayenin ne kadar hızlı hareket edebileceğinin de ortaya çıkmasına neden oldu. Bir platformda gerçekleşen köprü istismarı, saatler içinde birden fazla piyasada şok dalgaları yarattı ve kendi sözleşmeleri doğrudan ihlal edilmemiş olsa bile platformları faaliyetleri askıya almağa zorladı.
Kripto topluluğu, DeFi köprü saldırılarına çözüm talep ediyor
Bitwise'nin Çok Stratejili Çözümler ve DeFi Stratejileri Yöneticisi Jonathan Man, şunu söyledi:
Bu başka bir engel ama daha güçlü bir şekilde geri dönebiliriz. Sektör olarak, finansın geleceğini sağlam temeller üzerine kurmak için birlikte daha iyi bir performans sergilemeliyiz.
Aynı zamanda, KelpDAO saldırısı, köprülenen veya az işlem gören varlıklara yönelik saldırılar sonucu oluşan hasarı sınırlamak için kredi protokollerinin ve token çıkarıcılarının nasıl harekete geçebileceğine dair daha geniş bir tartışmaya yol açtı.
Monad'in kurucu ortağı Keone Hon, havuzlama kredi protokollerinin, bir varlığın hızlıca yatırılıp teminat olarak kullanılmasına ilişkin oran sınırları getirmeyi düşünmelidir.
Bu model altında, mevcut dolaşımdaki arzı 100 milyon dolar ve resmi üst sınırı 300 milyon dolar olan bir varlık, tek bir patlamayla tam üst sınıra çıkamaz. Bunun yerine, sisteme izin verilen arz, 10 dakika veya birkaç saat gibi belirli bir süre boyunca yavaşça artar.
Hon, egzotik bir varlık istismar edildiğinde, özellikle sonsuz basım hatalarını içeren durumlarda, mevcut çıkış yollarını daraltacağını söyledi.
Kaybın büyüklüğünün, piyasalar tepki vermeden önce tehlikeye giren varlığın kira mekanizmalarına veya diğer likit çıkışlara ne kadarının aktarıldığına göre daha az belirlendiğini savundu.
Bu çerçevede, büyük kira protokolleri, merkeziyetsiz borsa likiditesinin genellikle büyük bir istismarı absorbe etmek için yeterli olmaması nedeniyle ana salıncak noktaları haline gelir.
O, varlık çıkarıcılarının özellikle gecikmeli iade olan alım belgelerini çıkardıkları durumlarda daha sıkı kapalara sahip olmaya ilgili olması gerektiğini ekledi. Bu durumlarda, çıkarıcı doğrudan bir saldırgan tarafından iade baskısı altında olmasa da, aşağı akış çıkış yolları kısıtlı kaldıkça yine de fayda sağlar.
Hon, Hyperbridge DOT istilası ve Resolv olayına, soyulmuş varlığın çıkış yollarının sınırlı olması nedeniyle kayıpların daha felaketli seviyelerde kalmaması örneği olarak işaret etti.
Ethena'nın kurucusu Guy Young, bu görüşü destekledi ve yazarların, mint ve redemption katmanında hız sınırları eklemeyi, ayrıca LayerZero'nun OFT standardı üzerine özel hız sınırlamaları uygulamayı düşünmelere önerdi.
DeFi kullanıcıları, 292 milyon dolarlık bir sızıntı nedeniyle piyasadan 10 milyar dolar çekiyor ilk olarak CryptoSlate'te yayınlandı.