Kelp DAO, rsETH çapraz zincir köprüsündeki belirgin bir sömürü sonrası yaklaşık 116.500 rsETH, saldırı anında yaklaşık 292 milyon dolar değerinde bir miktarı boşaltmasıyla büyük bir güvenlik kriziyle karşı karşıya. Raporlamalar ve zincir üstü veriler, saldırganın LayerZero mesajlaşmasını kullanarak Kelp DAO’nun köprü sisteminden fonların serbest bırakılmasını tetiklediğini gösteriyor. Olay, rsETH’nin DeFi’de, özellikle kredi platformlarında teminat olarak yaygın kullanılması nedeniyle kripto piyasalarında hızla yayıldı.
Bu durum önem taşıyor çünkü rsETH, likit bir yeniden teminatlandırma (restaking) token’ıdır. Kullanıcılar, Ethereum staking’ine bağlı varlıkları yatırıp hareket ettirebilecekleri, takas yapabilecekleri veya DeFi’de kullanabilecekleri bir token alıyorlar ve aynı zamanda staking maruziyetlerini koruyorlar. Kelp DAO, rsETH’yi birçok blokzinciri üzerinde çalışacak şekilde inşa etti ve risk burada ortaya çıktı. LayerZero’nun OFT (Omnichain Fungible Token) standardı, tek bir tokeni birçok zincir arasında tek bir ortak arzı koruyarak taşımayı amaçlar. Bu, çapraz zincir kullanımını kolaylaştırırken, köprü güvenliğini token’in güvenliği için merkezi bir hâle getiriyor.
Raporlara göre ilk başarılı boşaltma 17:35 UTC’de gerçekleşti. Kelp DAO, yaklaşık 46 dakika sonra acil durdurma çoklu imza (multisig) mekanizmasını kullanarak temel sözleşmeleri dondurdu. Bu durdurma, daha sonra gerçekleşen iki 40.000 rsETH’lik boşaltma girişimini engellemiş gibi görünüyor. Kelp, şüpheli çapraz zincir aktivitesini tespit ettiğini ve köken nedeni araştırmak için LayerZero, Unichain, denetçiler ve dış güvenlik uzmanlarıyla çalıştığını belirtti. Basit bir ifadeyle, saldırı normal bir cüzdanı ya da basit bir ön uç hatasını değil, rsETH’nin ağlar arasında hareket etmesini sağlayan köprü mantığını hedef almış gibi görünüyor.
Saldırı aynı zamanda, sömürüye bağlı cüzdanın olaydan önce Tornado Cash üzerinden fonlandığını bildirerek endişe yarattı. DeFi sömürülerinde bu durum genellikle para izinin gizlenmeye çalışıldığı anlamına gelir. Blockchain araştırmacısı ZachXBT, saldırıyı gerçekleşir gerçekleşmez işaretledi ve piyasa gözlemcileri rsETH arzının ne kadarının etkilendiğine odaklandı. Çalınan miktarın dolaşımdaki rsETH’nin yaklaşık %18’i olduğu rapor edildi; bu oran, kredi piyasalarında, fiyat beslemelerinde ve risk sistemlerinde stres yaratacak kadar büyük.
Bu yüzden Aave hızlı hareket etti. Aave, V3 ve V4’te rsETH piyasalarını durdurdu ve kendi akıllı sözleşmelerinin sömürünün kaynağı olmadığını belirtti. Aave için daha büyük sorun kötü borç (bad debt) meselesi. Kredi verirken, teminat değer kaybederse ya da zamanında likidasyonu gerçekleşmezse kötü borç oluşabilir. Aave’in belgelerinde köprü ve ağ riskinin bu problemi besleyebileceği not ediliyor. Umbrella sistemi, açık bir zincir risk aracısı olarak açıkça eksikleri kapatmak için tasarlandı; ancak Aave daha sonra kamuoyuna yönelik ifadesini yumuşatarak bu olaydan kaynaklanan herhangi bir eksikliği dengelemenin yollarını araştıracağını söyledi.
Bu aynı zamanda ilk rsETH sorunu değil. Kelp DAO, Nisan 2025’te bir ücret sözleşmesi hatası nedeniyle aşırı rsETH basımı yapıldığında mevduat ve çekim işlemlerini durdurmuştu. Kelp, o olayda kullanıcı fonlarının kaybolmadığını söylemişti, ancak yeni sömürü, ölçekli doğrudan fon kaybını içerdiği için çok daha ciddiydi. Bu tarihçenin önemi büyük. Kripto dünyasında bir olay bir hata olarak değerlendirilebilir; bir yıl içinde iki olay, tasarım, test ve operasyonel kontroller hakkında daha zor sorular ortaya çıkarır.
Kelp DAO sömürüsünden alınacak en büyük ders, DeFi riskinin tek bir protokolle sınırlı kalmadığıdır. Bir köprü saldırısı bir tokeni hedef alabilir, ardından kredi piyasalarına yayılabilir ve köprüyü hiç kullanmamış kullanıcıları etkileyebilir. Bu, bileşenlerin (composability) gizli maliyetidir. Kelp DAO, LayerZero ve Aave gibi sistemler kripto piyasalarını bağlamak için inşa edilmiş olsa da, güçlü bağlantılar bir şey bozulduğunda stresin daha hızlı yayılmasına da neden olur. Kullanıcılar için Kelp DAO sömürüsü, likit yeniden teminatlandırma, çapraz zincir token’ları ve DeFi getirilerinin esneklik sağlayabileceğini, ancak aynı zamanda akıllı sözleşme, köprü ve teminat riskinin birden fazla katmanda bir anda başarabileceğini hatırlatıyor.
