KelpDAO siber saldırısı, ABD doları değeri açısından 2026 yılının en büyük güvenlik olayı oldu.
Birden fazla zincir üstü güvenlik şirketi ve sektör araştırmacısı, Cumartesi günü geç saatlerde, likit yeniden düzenleme protokolü KelpDAO’nun, faillerin yaklaşık 300 milyon doları sildiği büyük bir siber saldırının kurbanı olduğunu bildirdi.
Projenin arkasındaki ekip, olayı saatler sonra doğruladı ve sorunu çözmek için LayerZero, Unichain, denetçileri ve en iyi güvenlik uzmanlarıyla ortaklık kurduklarını ekledi.
Yılın en büyük siber saldırısı
Cyvers, saldırıyı ilk aşamada tespit eden ve daha sonra neler olduğuna dair daha ayrıntılı bir açıklama sağlayan güvenlik kaynakları arasındaydı. Saldırgan protokolün köprü sözleşmesini istismar etti ve likit yeniden düzenleme tokenı rsETH’den yaklaşık 293,7 milyon doları sildi.
Saldırgan, fonları ele geçirdikten sonra hızla harekete geçti ve bunları ETH’ye çevirdi. Fonları Ethereum ve Arbitrum’a dağıttılar; zincir içi aktivite, saldırganın fonları iki gruba ayırdığını gösteriyor: 178 milyon dolar Ethereum’da ve 72 milyon dolar da katman-2 zincirinde.
Çalınan rsETH, Aave V3, Compound V3 ve Euler gibi borç verme protokollerine yatırıldı. Yasa dışı yollarla elde edilen fonları kullanarak, önemli miktarda WETH ödünç aldılar ve 236 milyon dolardan fazla borç yarattılar.
Cyvers, bir saldırganın karşılıksız rsETH oluşturabileceğini ve ardından bunu ETH gibi gerçek varlıkları ödünç almak için kullanabileceğini, bunun da bu tür bir istismarın bu kadar hızlı bir şekilde nasıl yayıldığının tam olarak açıklaması olduğunu belirtti. Güvenlik uzmanları, bunun sadece tek bir protokol istismarı değil, hemen protokoller arası bir bulaşma olayı haline geldiğini ekledi. Borç verme, kasa ve likidite protokollerine derinlemesine entegre edilmiş bu tür varlıklar, benzer olaylara özellikle duyarlıdır ve bir başarısızlık sınırlı kalmaz:
“Anında yayılıyor, kötü borç yaratıyor, piyasa donmalarına neden oluyor ve aynı anda birden fazla platformu etkiliyor.”
Aave V3, rsETH piyasalarını dondurdu, SparkLend riskleri dondurdu, Fluid, Compound, Euler ve diğerleri ise riski kontrol altına almak için harekete geçti. Cyvers, en az 9 protokolün etkilendiğini söyledi.
KelpDAO açıklamaları
Projenin resmi X hesabı, rsETH içeren şüpheli zincirler arası aktivite tespit ettikten sonra ihlali doğruladı. Soruşturma devam ederken, ana ağ ve çeşitli katman-2’lerdeki bu sözleşmeleri durdurduklarını söylediler.
Konuyla ilgili olarak LayerZero, Unichain, denetçiler ve diğer güvenlik uzmanlarıyla çalışıyor olsalar da, yazım itibarıyla son 10 saat içinde bundan sonra ne olacağı ve kullanıcıların ne bekleyebileceği konusunda başka bir güncelleme yapılmadı.
KelpDAO’nun hacklenmesi, 2026 yılında sektördeki en büyük hack oldu ve önceki rekor sahibi olan Drift Protocol’ün 280 milyon dolarlık hack’ini geride bıraktı.
