Kelp DAO, 18 Nisan 2026'da bir saldırıya uğradı. Hacker, tek bir LayerZero doğrulama düğümünü ele geçirerek 116.500 adet gerçek varlık desteği olmayan rsETH bastı. Bu olay, son birkaç hafta içinde 6 milyar doları aşan DeFi sektör geneli kayıplara yol açtı ve çeşitli protokollerin toplam kayıpları 10 milyar dolara yaklaştı. Zincir üstü veriler, sermayenin yeniden stake etme, borç verme ve çapraz zincir köprü protokollerinden hızla çekildiğini gösteriyor; DeFi'nin toplam kilitli değeri 12 ayın en düşük seviyesine geriledi.
Bu olayın temel sorunu, yanlış yapılandırılmış tek bir doğrulama düğümünün tüm çapraz zincir DeFi altyapısının sistematik kırılganlığını ortaya çıkarıp çıkarmadığıdır. Kelp DAO'nun rsETH çapraz zincir köprüsü, LayerZero mesajlarını doğrulamak için merkezi olmayan bir doğrulama ağı düğümüne bağımlıdır. Bu "1-of-1" tek nokta yapılandırması daha önce Halborn güvenlik şirketi tarafından uyarılmıştı. Saldırgan (LayerZero, Kuzey Kore'ye ait Lazarus grubunun TraderTraitor ekibini işaret ediyor), bu doğrulayıcıya veri sağlayan iki RPC düğümünü ele geçirerek ve yedek düğümlere DDoS saldırısı düzenleyerek zorunlu bir arıza geçişi sağladı ve sonunda sahte mesajlar enjekte ederek büyük miktarda rsETH bastı.
Kayıplar hızla yayıldı. Basılan 116.500 rsETH, bu token'ı teminat olarak kabul eden borç verme piyasalarında kötü borç yarattı. Halborn bunu, sahte mesajların bir "yankı odası" olarak tanımladı. Analizler, sorunun araçların kendisinde değil, yapılandırma şeklinde olduğunu gösteriyor. Bu, saldırının sıfır gün açığından yararlanmadığı, daha önce uyarılmış yanlış yapılandırmadan faydalandığı anlamına geliyor. Tek nokta arızası doğrulayıcı mimarisi, net bir saldırı yüzeyi haline geldi.
TVL verileri, sermaye kaçışının ciddiyetini ortaya koyuyor. Makro baskılar altında, DeFi'nin toplam TVL'si 2026'nın ilk çeyreğinde sürekli daralırken, Kelp DAO olayı bu eğilimi hızlandırarak dikey bir düşüşe neden oldu. Veriler, 18 Nisan'daki saldırıdan sonraki 48 saat içinde TVL'den 13 milyar dolarlık bir çıkış yaşandığını gösteriyor. Bunlar arasında, Aave'in TVL'si 26.4 milyar dolardan yaklaşık 18 milyar dolara düştü; çünkü rsETH piyasasını dondurdu ve kullanıcılar potansiyel kötü borç riskinden kaçınmak için büyük ölçekli fon çekti. Aave risk ekibi, şu anda teminat olarak kullanılan teminatsız rsETH'nin geri kazanım oranına dayanarak iki kötü borç senaryosunu simüle ediyor.