Kelp DAO'yu Vuran 293 Milyon Dolarlık Soygun: Lazarus Akıllı Sözleşmeye Dokunmadan DeFi'ı Nasıl Hackedledi
18 Nisan 2026'da Kuzey Koreli Lazarus Grubu, Kelp DAO'nun LayerZero köprüsünü kandırarak 116.500 adet karşılıksız rsETH bastırdı ve 293 milyon doları 46 dakikada buharlaştırdı. Saldırı Aave'de 230 milyon dolarlık şüpheli alacağa yol açtı, Arbitrum Güvenlik Konseyi'ni 71 milyon doları dondurmaya zorladı ve tüm DeFi e...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
18 Nisan 2026'da saat 20:35'te (TSİ), bir saldırgan Kelp DAO'nun LayerZero destekli zincirler arası köprüsünde tek bir fonksiyonu çalıştırdı ve 116.500 rsETH, yani yaklaşık 293 milyon dolar ile birlikte ortadan kayboldu. Bu miktar, token'ın toplam dolaşımdaki arzının %18'ine denk geliyordu ve her şey sadece 46 dakika sürdü . Saldırgan bir akıllı sözleşme hatasını değil, şimdiye kadar kimsenin denetlemeyi akıl etmediği bir altyapı zafiyetini hedef almıştı.
Kuzey Kore'nin meşhur Lazarus Grubu'na atfedilen bu saldırı, 2026'nın en büyük DeFi soygunu olarak kayıtlara geçti. Lazarus'un altı aylık bir sosyal mühendislikle gerçekleştirdiği 285 milyon dolarlık Drift Protocol saldırısını bile geride bıraktı . Bu iki olay, Kuzey Kore'nin 2026'nın sadece 18 gününde toplam hack değerinin %76'sına denk gelen 578 milyon doları aşırmasına neden oldu .
Ancak Kelp DAO olayı farklıydı. Bu bir kod zafiyeti değil, DeFi'ın zincirler arası mesajlara duyduğu güvenin yapısal bir çöküşüydü ve tüm sektörün şimdi kapatmaya çalıştığı kör bir noktayı ifşa etti.
Saldırı tam olarak nasıl gerçekleşti: 1'de 1 doğrulayıcı ve sahte bir mesaj
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Kelp DAO'yu Vuran 293 Milyon Dolarlık Soygun: Lazarus Akıllı Sözleşmeye Dokunmadan DeFi'ı Nasıl Hackedledi"?
18 Nisan 2026'da Kuzey Koreli Lazarus Grubu, Kelp DAO'nun LayerZero köprüsünü kandırarak 116.500 adet karşılıksız rsETH bastırdı ve 293 milyon doları 46 dakikada buharlaştırdı.
What are the key points to validate first?
18 Nisan 2026'da Kuzey Koreli Lazarus Grubu, Kelp DAO'nun LayerZero köprüsünü kandırarak 116.500 adet karşılıksız rsETH bastırdı ve 293 milyon doları 46 dakikada buharlaştırdı. Saldırı Aave'de 230 milyon dolarlık şüpheli alacağa yol açtı, Arbitrum Güvenlik Konseyi'ni 71 milyon doları dondurmaya zorladı ve tüm DeFi ekosisteminde 13 milyar dolarlık bir likidite paniğini tetikledi [7][13].
What should I do next in practice?
Bu olayın öğrettiği en büyük ders: DeFi güvenlik denetimleri akıllı sözleşmelere odaklanırken, köprü doğrulayıcı yapılandırmaları, düğüm güvenliği ve zincir dışı mesajlaşma katmanları gibi kritik unsurları tamamen göz...
Kelp DAO, birden fazla ağda (Layer 2 çözümleri de dahil) rsETH çıkaran bir likit yeniden staking (restaking) protokolüdür. Bir kullanıcı rsETH'yi Ethereum ana ağına geri getirmek istediğinde, LayerZero'nun mesajlaşma katmanı, ana ağdaki köprü sözleşmesine token'ları serbest bırakması için bir talimat iletir .
Bu serbest bırakma işleminin güvenliği, Merkeziyetsiz Doğrulayıcı Ağları'na (DVN) dayanır. Bunlar, mesajın geçerli olduğunu onaylayan zincir dışı düğümlerdir. Kelp DAO, köprüsünü "1'de 1" DVN eşiği ile yapılandırmıştı; bu, herhangi bir zincirler arası mesajı onaylamak için tek bir doğrulayıcının yeterli olduğu anlamına geliyordu .
Saldırgan, Kelp'in kendi iç RPC düğümlerini ele geçirdi ve harici düğümlere Dağıtık Hizmet Engelleme (DDoS) saldırısı düzenleyerek yalnızca kendi kontrolündeki tek doğrulayıcıyı çalışır durumda bıraktı. Bu doğrulayıcıya, kaynak zincirde 116.500 rsETH'nin yakıldığını iddia eden sahte bir mesaj iletti. Doğrulayıcı mesajı onayladı, Ethereum sözleşmesi emre itaat etti ve fonlar saldırganın kontrolündeki bir adrese aktarıldı .
Chainalysis, tüm zincir üstü işlemlerin standart güvenlik araçlarına meşru göründüğünü doğruladı, çünkü saldırı tamamen zincir dışı altyapı ve düğüm seviyesinde gerçekleşmişti . Geleneksel akıllı sözleşme denetimleri bu noktada tamamen etkisiz kalmıştı.
Kelp'in acil durum çoklu imza cüzdanı, ilk saldırıdan 46 dakika sonra sözleşmeleri durdurarak yaklaşık 200 milyon dolarlık bir devam saldırısını önledi .
Kara para aklama: 220 milyon dolar 6 haftada nasıl yok oldu
Saldırgan çalınan token'larla oturmadı. Saatler içinde, 116.500 karşılıksız rsETH'nin 89.567'si Aave V3'e teminat olarak yatırıldı ve saldırgan, pozisyonlar dondurulamadan yaklaşık 82.650 WETH ve 821 wstETH borç aldı . Benzer teminatlandırılmış borçlanma Compound ve Euler'da da gerçekleşti ve toplamda yaklaşık 74.000 temiz ETH elde edildi .
Ardından asıl aklama başladı. Takip eden altı hafta içinde saldırgan, dondurulmayan yaklaşık 220 milyon dolarlık çalıntı fonun neredeyse tamamını akladı. 1 Haziran 2026 itibarıyla, orijinal saldırgan cüzdanlarında yalnızca yaklaşık 1,7 milyon dolar izlenebilir durumdaydı .
Aklama zinciri iki aşamalı kasıtlı bir model izledi:
Birinci aşama: İlk zincir üstü bağlantıları koparmak ve işlem grafiğini bulanıklaştırmak için Tornado Cash kullanıldı .
İkinci aşama: Fonlar, CoinJoin tarzı Bitcoin karıştırma için Wasabi Wallet'a yönlendirildi, ardından zincirler arası protokollerle Ethereum'a geri getirildi. Bu işlem için ağırlıklı olarak THORChain kullanıldı ve tek bir 24 saatlik pencerede yaklaşık 80 milyon dolarlık ETH-Bitcoin takası işlendi. Bu, THORChain'in takas hacmini günlük ortalamasının yaklaşık 11 katına, 394 milyon dolara çıkardı .
TRM Labs daha sonra, THORChain'in Kuzey Kore'nin en büyük soygunlarında (2025 Bybit ihlali ve KelpDAO saldırısı) tutarlı bir şekilde tercih edilen köprü olarak faaliyet gösterdiğini ve hiçbir operatörün transferleri dondurmaya veya reddetmeye yanaşmadığını doğruladı .
NS3.AI ayrıca yeni bir ayrıntıya da dikkat çekti: Saldırganlar, aklama aşamasında çalınan fonların en az 500.000 dolarlık kısmını zincirler arasında taşımak için bizzat LayerZero'yu kullandı. Bu, aynı uygulamanın hem hırsızlık hem de kara para aklamanın bir kısmı için kullanıldığı kaydedilen ilk örnek oldu .
Arbitrum Güvenlik Konseyi müdahalesi: 71 milyon dolar uçurumun kenarında yakalandı
Tüm fonlar kaçamadı. 21 Nisan 2026'da TSİ ile sabaha karşı, Arbitrum Güvenlik Konseyi, Arbitrum One ağında saldırgan kontrolündeki bir adreste tutulan 30.766 ETH'yi (yaklaşık 71 milyon dolar) dondurmak için acil durum eylemi gerçekleştirdi .
Konsey, kolluk kuvvetlerinin de katkısıyla hareket etti ve fonları yönetişim kontrolündeki bir ara cüzdana taşıdı. 12 konsey üyesinden 9'u dondurma lehinde oy kullandı . Bu fonlar, yalnızca resmi bir Arbitrum yönetişim oylamasıyla serbest bırakılabilecek şekilde kilitlendi .
8 Mayıs 2026'da Arbitrum Güvenlik Konseyi, rsETH teminat geri kazanımını hızlandırmak ve etkilenen kullanıcılar için likiditeyi yeniden sağlamak amacıyla bu fonları çözmek için ortak bir teklifi onayladı. Kurtarma süreci kolluk kuvvetlerinin katılımıyla devam ediyor .
Aave için 230 milyon dolarlık uyanış ve risk çerçevesinin baştan yazılması
Saldırının en ağır ikincil hasarını Aave aldı. Saldırgan, 89.567 sahte rsETH'yi Aave V3'e yatırdı ve yaklaşık 230 milyon dolar değerinde temiz varlık borçlandı. Bu krediler, rsETH'nin karşılıksız olduğu ortaya çıkınca geri alınamaz şüpheli alacaklara dönüştü .
Aave'nin Protokol Gardiyanı, 18 Nisan'da TSİ 22:00 civarında tüm V3 dağıtımlarında rsETH ve wrsETH rezervlerini dondurdu ve Ethereum, Arbitrum, Avalanche ve Optimism'in de aralarında bulunduğu 11 etkilenen pazarda kredi-değer oranlarını (LTV) sıfıra ayarladı . DeFi'ın finansal tesisatının temel bir parçası olan WETH borçlanması, altı ağda etkili bir şekilde dondurulmuş oldu.
Mayıs 2026 ortası itibarıyla, karşılıksız token'ların %95'inden fazlası geri kazanılmıştı ve kalan açığın Aave DAO hazinesi ve DeFi United koalisyonu tarafından karşılanması bekleniyordu . Aave, 18 Mayıs 2026'da altı V3 ağında normal WETH borçlanma limitlerini geri yükledi .
Ancak bu olayın asıl mirası, yönetişim tepkisi olacak. Consensus Miami 2026'da Aave Labs Baş Hukuk ve Politika Sorumlusu Linda Jeng, protokolün varlık listeleme ve teminat değerlendirme standartlarında köklü bir revizyona gidildiğini duyurdu . Yeni çerçeve, geleneksel finansal risk metriklerinin ötesine geçerek şunları içerecek:
Siber güvenlik açıkları ve operasyonel güvenlik duruşu
Köprü altyapısı bağımlılıkları ve tek doğrulayıcı riskleri
Oracle (veri akışı) bağımlılıkları ve üçüncü taraf sözleşme riskleri
Saklama düzenlemeleri ve birleştirilebilir protokoller arasındaki birlikte çalışabilirlik riskleri
Aave şimdiden 295 risk parametresini ayarladı ve önceden tanımlanmış risk eşikleri tetiklendiğinde bir varlığın kredi-değer oranını otomatik olarak sıfıra indirebilen savunmalar ekledi . Protokol, V3'te listelenen her varlığın tam bir incelemesini başlatıyor ve listeleme standartlarını sıfırdan yeniden yazıyor .
Büyük resim: Köprüler artık DeFi'ın ana saldırı yüzeyi
Kelp DAO olayı münferit değildi. Bu, 18 gün içinde yaşanan ikinci dokuz haneli köprü saldırısıydı. İlki, 1 Nisan'da Lazarus Grubu'na atfedilen ve sosyal mühendislikle gerçekleştirilen 285 milyon dolarlık Drift Protokolü ihlaliydi . Bu iki olay birleştiğinde, 2026'nın başındaki DeFi kayıpları 840 milyon doları aştı .
Sistemik etki, doğrudan hırsızlığı gölgede bıraktı. Kelp DAO saldırısından sonraki 48 saat içinde, DeFi ekosisteminde kilitli toplam değer (TVL) 13,21 milyar dolar eridi. Yalnızca Aave, takip edilen 26 protokol arasında TVL'sinin %43'ünü kaybetti . Ekosistemi 5,4 milyar dolarlık bir çekilme paniği sardı .
Saldırı, Chainalysis'in "kritik bir yapısal kör nokta" olarak adlandırdığı şeyi ifşa etti: DeFi güvenliği ezici bir çoğunlukla akıllı sözleşme denetimlerine odaklanmıştı; köprü altyapısı, düğüm operasyonel güvenliği ve tek doğrulayıcı yapılandırmaları büyük ölçüde incelenmemiş risk vektörleri olarak kalmıştı .
Çözüm süreci çoktan başladı. Protokoller çoklu doğrulayıcılı köprü yapılandırmalarına geçiyor. Aave'nin, varlık ihraççıları için resmi bir kılavuz olarak yayınlanması beklenen yeni listeleme el kitabı, rsETH benzeri türevlerin teminat olarak kabul edilmeden önce projelerin köprü mimarisini, doğrulayıcı merkeziyetsizliğini ve düğüm güvenliği uygulamalarını açıklamasını zorunlu kılacak .
Lazarus, DeFi'ın denetlediği ile gerçekte bağımlı olduğu şey arasındaki boşluğu istismar etti. Sektörün tepkisi, bu boşluğun nihayet kapandığını gösteriyor — ancak bu ders, 293 milyon dolar pahasına alındı.
thestreet.com
Major DeFi hack becomes the largest of 2026 yet - TheStreet Crypto
Comments
0 comments