Kripto piyasasında son haftalarda art arda yaşanan saldırılar, DeFi ekosisteminde ciddi bir kırılma yarattı. Özellikle Kelp DAO üzerinden gerçekleşen son köprü saldırısı, hem piyasa değerlerinde hem de güven algısında sert bir gerilemeye yol açtı. Toplam kayıpların üç hafta içinde 600 milyon doları aşması, sektör genelinde baskının artmasına neden oldu.
Kelp DAO’nun çapraz zincir (cross-chain) köprüsünde meydana gelen yaklaşık 292 milyon dolarlık saldırının ardından, DeFi piyasası tek bir günde yüzde 5,6 oranında değer kaybetti. Bu düşüş, 2024’ten bu yana görülen en sert hareketlerden biri olarak kayda geçti. Sektörde kilitli toplam değer (TVL) ise yaklaşık 82,4 milyar dolara gerileyerek son bir yılın en düşük seviyesine indi. Yıl başında 110 milyar dolar civarında olan TVL düşünüldüğünde, kaybın boyutu daha net ortaya çıkıyor.
Düşüş en çok kredi (lending) protokollerinde hissedildi. Bu segmentte TVL yaklaşık yüzde 13 oranında gerilerken, likit staking tarafında da yüzde 3’ün üzerinde kayıp görüldü. Merkeziyetsiz borsalar ve türev platformları da bu satış dalgasından payını aldı. Piyasa genelinde risk iştahı zayıflarken, yatırımcıların temkinli duruşu dikkat çekti.
Saldırının etkisi zincirleme yayıldı
Söz konusu saldırı, yalnızca Kelp DAO ile sınırlı kalmadı. Çalınan varlıkların bir kısmı Aave platformunda teminat olarak kullanıldı ve bu durum protokolde potansiyel “bad debt” riskini gündeme getirdi. Aave, riski sınırlamak amacıyla rsETH varlıklarını dondurdu. Ancak bu hamle, bazı stablecoin piyasalarında likidite sıkışıklığına yol açtı ve milyarlarca dolarlık varlık fiilen kilitli hale geldi.
Saldırının teknik detayları da dikkat çekici. Olayın, LayerZero altyapısı üzerinde çalışan bir köprüde gerçekleştiği ve saldırganın sahte bir çapraz zincir mesajı oluşturarak sistemi kandırdığı belirtiliyor. İlk bulgular, saldırının arkasında Kuzey Kore bağlantılı Lazarus Group olabileceğine işaret ediyor.
Taraflar arasında ise ciddi bir suçlama trafiği yaşanıyor. LayerZero, Kelp DAO’nun kullandığı doğrulama yapısının “tek hata noktası” oluşturduğunu savunurken, Kelp DAO ise bu yapılandırmanın varsayılan olarak sunulduğunu ve daha önce uygun bulunduğunu belirtiyor. Aynı tartışmaya Aave de dolaylı olarak dahil olmuş durumda. Sektör içinden bazı geliştiriciler, tarafların birlikte hareket etmesi gerektiğini vurgulasa da şu ana kadar net bir çözüm planı ortaya konmuş değil.
Kayıpların nasıl dağıtılacağı belirsiz
Saldırı sonrası en kritik konulardan biri, oluşan zararın nasıl paylaşılacağı. Analizlere göre iki temel senaryo öne çıkıyor. İlk senaryoda zarar tüm rsETH sahiplerine yayılıyor ve yaklaşık yüzde 15’lik bir değer kaybı söz konusu oluyor. Bu durumda Aave üzerinde yaklaşık 120 milyon dolarlık bir açık oluşabileceği hesaplanıyor.
İkinci senaryoda ise kayıpların büyük bölümü Layer 2 kullanıcılarına yükleniyor. Bu durumda bazı varlıklarda yüzde 70’i aşan değer kaybı gündeme gelebilir ve toplam zarar daha da büyüyebilir. Hangi senaryonun uygulanacağı ise henüz net değil.
Arbitrum’dan müdahale geldi
Gelişmelerin ardından Arbitrum tarafında önemli bir adım atıldı. Arbitrum Güvenlik Konseyi, saldırıyla bağlantılı bir adreste bulunan yaklaşık 30.766 ETH’yi dondurdu. Yaklaşık 71 milyon dolar değerindeki bu varlıkların, yönetişim süreci tamamlanmadan hareket ettirilemeyeceği açıklandı.
Fonlar harekete geçti
Ancak saldırganın tamamen durdurulamadığı görülüyor. Zincir üstü analizlere göre çalınan fonların bir kısmı farklı ağlara taşınmaya başladı. Arbitrum’da KelpDAO saldırısıyla bağlantılı 30.766 ETH’nin dondurulmasının ardından saldırganın hareketlerini hızlandırdığı görülüyor. EmberCN verilerine göre saldırgan, Ethereum ana ağı üzerinde yaklaşık 75.700 ETH’yi (yaklaşık 175 milyon dolar değerinde) farklı adreslere dağıtmaya başladı.
Özellikle UmbraCash üzerinden gerçekleştirilen çok sayıda küçük transfer, fonların parçalanarak izinin kaybettirilmeye çalışıldığını gösteriyor.
