DeFi sektörü 2026'nın en büyük güvenlik ihlaliyle sarsıldı
Kripto para dünyası, 18 Nisan 2026 tarihinde Merkeziyetsiz Finans (DeFi) sektörünün bu yılki en büyük güvenlik ihlaliyle karşı karşıya kaldı. Likid restaking protokolü Kelp DAO'nun LayerZero altyapısını kullanan köprüsü, 292 milyon dolar değerinde 116.500 rsETH (restaked ether) tokeninin çalındığı sofistike bir saldırıya maruz kaldı.
Saldırının teknik detayları
Siber güvenlik firması CyversAlerts'ın analizlerine göre, saldırgan saat 17:35 UTC'de LayerZero platformundaki rsETH tokeninin çapraz zincir köprüsündeki bir güvenlik açığından yararlandı. Saldırgan, EndpointV2 sözleşmesindeki lzReceive fonksiyonunu sahte bir şekilde çağırarak büyük miktarda rsETH tokenini kişisel adresine transfer etmeyi başardı.
LayerZero'nun çapraz zincir mesajlaşma sistemi, blok zincirleri arasında veri ve varlık transferine olanak sağlayan kritik bir altyapı olarak hizmet veriyor. Ancak bu saldırı, köprü protokollerinin halen önemli güvenlik riskleri taşıdığını bir kez daha gözler önüne serdi.
Piyasada domino etkisi
Saldırının hemen ardından LayerZero'nun native tokeni ZRO, %12.7'lik keskin bir düşüş yaşadı. DeFi piyasasında yaşanan bu şok dalgası, özellikle Aave gibi büyük protokolleri de etkiledi. Verilere göre AAVE tokeni %16 değer kaybederken, protokolden 6 milyar dolar değerinde fon çekildi.
Çalınan rsETH tokenlerinin saldırganlar tarafından teminat olarak kullanılarak wrapped ether borç almak için kullanıldığı belirtiliyor. Bu durum, saldırının etkisinin sadece Kelp DAO ile sınırlı kalmadığını, tüm DeFi ekosistemine yayılan bir contagion (bulaşma) riski oluşturduğunu gösteriyor.
DeFi güvenlik istatistikleri endişe verici
2025 yılı verileri, kripto hırsızlıklarının 3.4 milyar dolar seviyesine ulaştığını gösteriyor. Chainalysis raporlarına göre bireysel cüzdan ihlalleri 158.000 vakaya ulaşırken, 80.000 benzersiz mağdur bu saldırılardan etkilendi. Off-chain (zincir dışı) olayların 2024'teki saldırıların %56.5'ini ve kaybedilen fonların %80.5'ini oluşturduğu görülüyor.
Halborn'un 2025 Top 100 DeFi Hacks raporu, ihlal edilen hesapların hem en sık karşılaşılan hem de en maliyetli saldırı vektörü olduğunu ortaya koyuyor. Raporda kullanıcı hesap güvenliğinin kritik önemi vurgulanıyor.
Kelp DAO ve LayerZero'nun durumu
Kelp DAO, EigenLayer üzerinden getiri sağlayan likid restaking tokeni rsETH'yi ihraç eden önde gelen bir protokol olarak biliniyor. LayerZero ise omni zincir birlikte çalışabilirlik sağlayan ve birçok DeFi protokolü tarafından kullanılan bir altyapı çözümü sunuyor.
Olayın ardından her iki protokol yetkililerinin resmi açıklama yapıp yapmadığı ve kullanıcıların kayıplarını telafi etmek için bir plan sunup sunmayacakları merak konusu. Benzer köprü saldırıları geçmişte Wormhole (2022, 320 milyon dolar), Ronin (2022, 625 milyon dolar) ve Nomad (2022, 190 milyon dolar) gibi protokolleri de vurmuştu.
Editör Yorumu
Bu saldırı, DeFi ekosistemindeki köprü altyapılarının halen kritik güvenlik zafiyetleri taşıdığını acı bir şekilde hatırlattı. 292 milyon dolarlık kayıp, sadece 2026'nın en büyük saldırısı olmakla kalmıyor, aynı zamanda sektördeki güven sorununu daha da derinleştiriyor. LayerZero gibi temel altyapı protokollerinin güvenlik önlemlerini gözden geçirmesi ve kullanıcı fonlarının korunması için daha sıkı denetim mekanizmaları geliştirmesi gerekiyor. Bu olay, DeFi'nin merkeziyetsizlik vaadinin güvenlik olmadan anlamsız kalacağını bir kez daha gösterdi.
Yorumlar
Yorum Yap