Bir saldırganın 18 Nisan 2026 tarihinde KelpDAO'nun rsETH likit yeniden stake etme tokenindeki bir basım açığını istismar ettiği ve Ethereum ile Arbitrum ağlarında tahmini 280 milyon dolar veya daha fazla tutarda para çaldığı bildirildi.
ZachXBT, Ethereum DeFi kredi piyasalarını vuran 280 milyon doların üzerindeki KelpDAO güvenlik açığını ortaya çıkardı
YAZAN
PAYLAŞ
Önemli Noktalar:
- ZachXBT, 18 Nisan 2026'da Ethereum ve Arbitrum DeFi protokollerinde 280 milyon doların üzerinde bir hırsızlık vakası olduğunu bildirdi.
- KelpDAO'nun rsETH basımındaki güvenlik açığı, Aave V3'te kötü borç yaratırken, AAVE tokeni yaklaşık %10-13 değer kaybetti.
- KelpDAO bu istismarı henüz doğrulamadı; analistler, geri kazanım ipuçları bulmak için tespit edilen altı saldırgan cüzdanını izliyor.
Ethereum DeFi Güvenlik Açığı: KelpDAO rsETH Saldırısı 280 Milyon Doların Üzerinde Kayba Neden Oldu
Onchain araştırmacısı ZachXBT, saat 15:00'ten kısa bir süre önce halka açık Telegram kanalında ilk uyarıyı yayınladı. Hırsızlıkla bağlantılı altı cüzdan adresini listeleyen ZachXBT, saldırgan cüzdanlarına para akışı başlamadan önce Tornado Cash aracılığıyla fon sağlandığını belirtti. ZachXBT'nin gönderisinde, KelpDAO'nun adını doğrudan belirtmeden birden fazla DeFi protokolünde 280 milyon doları aşan kayıplara değinildi, ancak onchain analistleri birkaç saat içinde adresler arasındaki bağlantıyı kurdu.
ZachXBT, "KelpDAO'dan bir saat önce Ethereum ve Arbitrum'da 280 milyon doların üzerinde para çalınmış görünüyor" diye yazdı. "Saldırı adresleri Tornado Cash aracılığıyla finanse edildi."
Saldırı, sıkça kullanılan bir taktiği izledi. Raporlara göre saldırganlar, rsETH'nin basım mantığındaki bir açığı istismar ederek, uygun teminat sağlamadan büyük miktarda likit yeniden stake etme tokeni oluşturmuş görünüyor. Bu şişirilmiş rsETH daha sonra hem Ethereum hem de Arbitrum'daki Aave V3 kredi piyasalarına yatırıldı ve saldırgan, buna karşılık önemli miktarda ETH ve diğer varlıkları ödünç aldı.
Teminatın değersiz olduğu anlaşıldığında, bu pozisyonlar Aave'ye kötü borç yükü bıraktı. Topluluğun toplam kayıp tahminleri 100 milyon dolar ile yaklaşık 293 milyon dolar arasında değişiyordu; bu, mevcut fiyatlarla yaklaşık 116.500 ETH'ye denk geliyor.
AAVE, bu haber üzerine keskin bir düşüş yaşadı. Piyasa verileri, ilk uyarıdan sonraki birkaç saat içinde %10 ile %13 arasında bir düşüş olduğunu gösteriyor; bu durum, piyasanın protokolün kredi havuzları genelinde potansiyel batık kredi riskini değerlendirmesinden kaynaklanıyor.
rsETH gibi likit yeniden stake edilen tokenlar, DeFi'nin birleştirilebilirliğinin derinliklerinde yer alıyor. Bu tokenlar, birden fazla kredi piyasasında aynı anda teminat olarak kabul ediliyor; bu da, bir basım istismarının kayıpları platformlar arasında hızla yayabileceği anlamına geliyor. KelpDAO olayı, bu riski doğrudan ortaya koyuyor.
ZachXBT tarafından listelenen saldırgan cüzdanları, Aave ve Compound'da tutulan büyük ETH pozisyonlarını gösteriyordu. Tek bir adresin, tespit edildiği anda Aave'de yaklaşık 120 milyon dolarlık ETH tuttuğu bildirildi. Fonlar, boşaltma işleminden sonra hızla aktarıldı.
Saldırıdan önce operasyonel cüzdanları önceden finanse etmek için Tornado Cash'in kullanılması, kaynaklarını gizlemeye çalışan saldırganlar için standart bir taktiktir. Bu, yeni bir teknik olduğunu göstermez, ancak operasyonun kasıtlı ve planlı olduğunu doğrular.
18 Nisan saat 15:00 (ET) itibarıyla KelpDAO, resmi bir açıklama veya olay sonrası değerlendirme yayınlamamıştı. Topluluk, bir yanıt için projenin X hesabını ve web sitesini, ayrıca acil durum önlemleri için Aave yönetişim kanallarını takip ediyordu.
Peckshield, Slowmist ve diğerleri dahil olmak üzere DeFi güvenlik firmaları, yazının yazıldığı sırada henüz ayrıntılı analizler yayınlamamıştı; bu da durumun ne kadar hızlı geliştiğini yansıtıyordu. ZachXBT, halka açık kanallarda KelpDAO'yu özellikle isimlendiren bir takip mesajı yayınlamamıştı, ancak adreslerin çakışması net bir çizgi çizdi.
Drift Protocol Saldırısı 2026: Neler Oldu, Kimler Para Kaybetti ve Bundan Sonra Ne Olacak?
Drift Protocol, 1 Nisan 2026'da, sahte teminat ve sosyal mühendislik yöntemlerini kullanan Kuzey Kore bağlantılı aktörlerin gerçekleştirdiği 12 dakikalık bir Solana DeFi saldırısı sonucunda 286 milyon dolarlık zarara uğradı. read more.
Şimdi oku
Drift Protocol Saldırısı 2026: Neler Oldu, Kimler Para Kaybetti ve Bundan Sonra Ne Olacak?
Drift Protocol, 1 Nisan 2026'da, sahte teminat ve sosyal mühendislik yöntemlerini kullanan Kuzey Kore bağlantılı aktörlerin gerçekleştirdiği 12 dakikalık bir Solana DeFi saldırısı sonucunda 286 milyon dolarlık zarara uğradı. read more.
Şimdi okuDrift Protocol Saldırısı 2026: Neler Oldu, Kimler Para Kaybetti ve Bundan Sonra Ne Olacak?
Şimdi okuDrift Protocol, 1 Nisan 2026'da, sahte teminat ve sosyal mühendislik yöntemlerini kullanan Kuzey Kore bağlantılı aktörlerin gerçekleştirdiği 12 dakikalık bir Solana DeFi saldırısı sonucunda 286 milyon dolarlık zarara uğradı. read more.
Bu olay, 1 Nisan 2026'da Bitcoin.com News tarafından ilk kez bildirilen Drift Protocol istismarından ayrıdır; söz konusu olayda, USDC'nin CCTP aracılığıyla Ethereum'a aktarılmasından önce, esas olarak Solana'da yaklaşık 280 milyon dolarlık bir fon çekilmişti. Mekanizmalar, zincirler ve zaman çizelgeleri birbirinden farklıdır.
Aave, Compound veya diğer kredi piyasalarında rsETH veya ilgili pozisyonlara sahip olan herkese, durum çözülene kadar risklerini gözden geçirmeleri konusunda topluluk üyeleri tarafından tavsiye edildi.
ZachXBT tarafından tespit edilen altı saldırgan cüzdanı, analistler fonların Aave'den çıktıktan sonra nereye gittiğini haritalandırmaya çalışırken, zincir üzerinde izleme için aktif hedefler olmaya devam ediyor.
