Kelp DAO’nun rsETH köprüsünde 18 Nisan 2026 Cumartesi günü gerçekleşen saldırı, ilk verilere göre yaklaşık 292 milyon dolarlık kayba yol açtı. Blockchain odaklı kayıtlar, saldırganın LayerZero tabanlı köprü üzerinden 116 bin 500 rsETH çektiğini ortaya koydu. Olayın ardından protokoldeki temel sözleşmeler acil durdurma mekanizmasıyla askıya alındı ve yeni girişimlerin önü kesildi. Yayın saatine kadar ne Kelp DAO’dan ne de KernelDAO’dan resmi açıklama geldi.
Saldırının İzi Blockchain’de
Başarılı işlem 17.35 UTC’de gerçekleşti. Kayıtlara göre saldırganın kontrolündeki cüzdan, LayerZero’nun EndpointV2 sözleşmesindeki lzReceive çağrısını kullandı ve Kelp’in köprü sözleşmesinden ayrı bir adrese 116 bin 500 rsETH aktarımı sağladı. Güncel fiyatlarla hesaplandığında kaybın değeri yaklaşık 292 milyon dolara ulaştı. Saldırıda kullanılan cüzdanın yaklaşık 10 saat önce Tornado Cash’in 1 ETH havuzu üzerinden fonlandığı da görüldü. DeFi tarafındaki birçok istismarda rastlanan gizleme yöntemi yine sahneye çıktı.
Blockchain araştırmacısı ZachXBT de Telegram üzerinden paylaştığı mesajda Ethereum ve Arbitrum üzerinde 280 milyon doların üzerinde varlığın çalındığını yazdı. Elde edilen rsETH miktarı, CoinGecko verilerine göre dolaşımdaki arzın yaklaşık yüzde 18’ine denk geldi. rsETH’nin Base, Arbitrum, Linea, Blast, Mantle ve Scroll dahil 20’den fazla ağda işlem görmesi olayın etkisini tek bir zincirin çok ötesine taşıdı.
Acil Durdurma Geç Kaldı Ama İşe Yaradı
Kelp cephesi yaklaşık 46 dakika sonra harekete geçti. Saat 18.21 UTC’de acil durdurma yetkisine sahip multisig yapı pauseAll işlemini çalıştırdı. Ardından LRT Deposit Pool, Withdrawal sözleşmesi, LRT Oracle ve rsETH token’ı dahil protokolün çekirdek parçalarında durdurma kayıtları oluştu. Saldırganın 18.26 ve 18.28 UTC’de yaptığı iki yeni deneme ise başarısız kaldı. İlk darbe ağırdı ama en azından hack bir yerde engellendi.
Sarsıntı yalnızca Kelp ile sınırlı kalmadı. Saldırı sonrası AAVE fiyatı yaklaşık yüzde 10 geriledi. Piyasada, borç verme platformunun kötü borç riskiyle karşı karşıya kalabileceğine dair endişeler konuşuldu. Üstelik rsETH tarafında son 12 ay içindeki ikinci güvenlik vakası yaşandı.
Nisan 2025’te ücret sözleşmesindeki hata nedeniyle fazla rsETH basılmış protokol o dönemde para yatırma ve çekme işlemlerini durdurmuştu. O olayda kullanıcı fonlarının zarar görmediği açıklanmıştı. Son tabloda ise hasarın boyutu çok daha sert göründü.