2026’nın en büyük merkeziyetsiz finans (DeFi) saldırılarından biri hafta sonu gerçekleşti. Saldırgan, Kelp DAO ekosistemini hedef alarak Ethereum ve Arbitrum ağları üzerinde toplam 290 milyon doların üzerinde rsETH varlığını ele geçirdi. Olayın ardından başta kredi protokolleri olmak üzere birçok DeFi platformu, finansal bulaşmayı önlemek için acil koruma önlemleri devreye aldı.
Saldırının merkezinde, rsETH varlıklarının zincirler arası transferini sağlayan köprü mekanizması yer aldı.
Açığın Kaynağı: Altyapı Değil, “Peer-Trust” Hatası
Zincir üstü analiz firması D2 Finance tarafından paylaşılan adli bulgulara göre sorun, köprü altyapısını sağlayan LayerZero sisteminden değil, “OApp peer-trust bug” olarak tanımlanan kritik bir güven zafiyetinden kaynaklandı.
Bu hata, kaynak zincirdeki bir anahtarın (key) ele geçirilmesiyle, saldırganın meşru şekilde dağıtılmış bir Kelp DAO peer kontratını kontrol altına almasına imkân verdi. Saldırganın ilk cüzdanlarının, izini gizlemek amacıyla Tornado Cash üzerinden fonlandığı da tespit edildi.
Çalınan Varlıklar Satılmadı: DeFi Protokollerinde Teminat Olarak Kullanıldı
Saldırgan, ele geçirdiği rsETH varlıklarını hemen nakde çevirmek yerine, DeFi kredi piyasalarında teminat olarak kullanmayı tercih etti.
