博链BroadChain'den öğrenildiğine göre, 23 Nisan 12:16'da, 19 Nisan'ın erken saatlerinde, Kelp DAO'nun LayerZero tabanlı rsETH çapraz zincir köprüsü bir saldırıya uğradı. Yaklaşık 116,500 rsETH, karşılık gelen bir yakma kaydı olmadan ana ağdan çıkarıldı ve yaklaşık 292 milyon dolar kayıp yaşandı. Saldırıdan sonraki bir saat içinde Kelp acil durum sözleşmelerini askıya aldı, ancak saldırgan daha sonra iki kez daha ek saldırı girişiminde bulundu. Sözleşmeler askıya alınmamış olsaydı, potansiyel toplam kayıp 391 milyon dolara kadar çıkabilirdi.
Bu, 2026 yılında DeFi alanında tek bir olayda yaşanan en yüksek kayıt oldu. Saldırının merkezinde doğrulama mekanizmasının tek nokta arızası yatıyor. Kelp, LayerZero'nun izin verdiği en zayıf güvenlik yapılandırmasını - 1/1 DVN'yi - kullandı, yani çapraz zincir mesajlarının geçmesi için yalnızca tek bir doğrulayıcı imzası gerekiyordu. Güvenlik uzmanları, bunun özünde denetimle düzeltilemeyen bir mimari kusur olduğunu belirtti.
Daha 2025 Ocak ayında, bazı geliştiriciler Aave yönetişim forumunda Kelp'in çoklu doğrulayıcı yapılandırmasına geçmesi gerektiği konusunda uyarıda bulunmuştu, ancak bu öneri 15 ay boyunca dikkate alınmadı. LayerZero, olaydan sonra hala tek doğrulayıcı kullanan uygulamalar için mesaj onaylamayı durduracağını açıkladı. Teknolojik başarısızlık hızla sistematik bir yayılmaya yol açtı.
Saldırgan, çalınan rsETH'leri Aave, Compound ve diğer birçok borç verme platformuna yatırarak 236 milyon doların üzerinde gerçek varlık ödünç aldı. Aave hemen ilgili piyasaları dondurdu, bu da likiditenin aniden daralmasına ve 100 milyar doları aşan bir para çekme dalgasına yol açtı. Fluid, Upshift, Lido Earn ve en az 9 protokol daha acil durum yanıtı tetikledi.
Bu, LRT'lerin (Likidite Yeniden Stake Token'ları) teminat olarak kullanılması ve çok katmanlı birleştirmeler sonucunda, temel rezervlerin boşalmasının tüm güven zincirini aynı anda dengesizleştirme riskini ortaya çıkardı. Bu saldırının nedeni konusunda tartışmalar var. LayerZero bunu Kuzey Koreli hacker grubu Lazarus Group'a bağlarken, güvenlik şirketi Cyvers ilgili cüzdan kümelenmelerini henüz doğrulamadığını ifade etti.
Saldırganın kullandığı kötü amaçlı düğüm yazılımı olaydan sonra otomatik olarak izlerini sildi, bu da adli tıp çalışmalarını zorlaştırdı. Bu, DeFi endüstrisinin saldırı izleme ve istihbarat paylaşımında sistematik işbirliği eksikliğini yansıtıyor. Art arda gerçekleşen büyük çaplı saldırılar, DeFi'nin mevcut güvenlik yönetim çerçevesinin ciddi zorluklarla karşı karşıya olduğunu gösteriyor.
Güvenlik evrimi, protokol tasarımcıları, altyapı katmanları, borç verme platformları gibi çoklu tarafların ortak katılımını gerektiriyor. Risk varsayımlarının yeniden kalibre edilmesi ve daha sistematik bilgi paylaşımı ile zorunlu risk kontrol mekanizmalarının kurulması gerekiyor.