Protokol: Kelp DAO, 292 milyon dolar tutarında saldırıya uğradı

Ağ Haberleri

KELP DAO İSTİSMARI: Neredeyse yeniden stake edilmiş bir ether tokenının dolaşımdaki arzının beşte birini elinde bulunduran bir çapraz zincir köprüsü boşaltıldı ve bu durum, Kelp DAO'nun sözleşmeleri durdurmasından daha hızlı şekilde DeFi tarafından hissediliyor. Bir saldırgan Kelp DAO'nun 116.500 rsETH'sini (yeniden stake edilen ether) çekti Hafta sonu saat 17:35 UTC’de LayerZero destekli köprü, mevcut fiyatlarla yaklaşık 292 milyon dolar değerinde ve CoinGecko tarafından izlenen rsETH’nin 630.000 tokenlik dolaşımdaki arzının yaklaşık %18’ini temsil ediyor. LayerZero, farklı blokzincirlerinin doğrulanmış talimatları birbirlerine göndermesine olanak tanıyan bir çapraz zincir mesajlaşma katmanı veya altyapısıdır. Kelp DAO, kullanıcının yatırdığı ETH’yi alan, bunu EigenLayer üzerinden ek getiri elde etmek için yönlendiren ve rsETH’yi ticarete konu belge olarak çıkaran likit restaking protokolüdür. Boşaltılan köprü, tokenin sarılmış versiyonlarını destekleyen rsETH rezervini barındırıyor ve 20'den fazla farklı blokzincirinde dağıtılmıştır. Saldırgan, LayerZero’nun çapraz zincir mesajlaşma katmanını başka bir ağdan geçerli bir talimat gelmiş gibi kandırarak, Kelp’in köprüsünün kontrolündeki adrese 116.500 rsETH salmasını tetikledi. Kelp’in acil durum durdurucu multisig işlemi, başarılı boşaltımdan 46 dakika sonra, saat 18:21 UTC’de protokolün ana sözleşmelerini dondurdu. 18:26 UTC ve 18:28 UTC’de gerçekleşen iki takip girişimi her ikisi de geri döndü; her biri yaklaşık 100 milyon dolarlık 40.000 rsETH daha boşaltmaya çalışan aynı LayerZero paketini içeriyordu. — Shaurya Malwa Daha fazla oku.

KUZEY KORE KRİPTO SOYGUNU OYUN KİTABI: Kuzey Kore bağlantılı bilgisayar korsanlarının sosyal mühendislik kullanmasının üzerinden üç haftadan kısa bir süre sonra başarılı kripto ticaret firması Drift, ulusla bağlantılı hackerlar, Kelp ile başka büyük bir güvenlik ihlalini gerçekleştirmiş gibi görünüyor. LayerZero'nun çapraz zincir altyapısına bağlı bir yeniden staking protokolü olan Kelp'e yapılan saldırı, Kuzey Kore bağlantılı hackerların operasyonlarında bir evrimi işaret ediyor, sadece açıklar veya çalınan kimlik bilgilerini aramıyor, ancak merkeziyetsiz sistemlere entegre edilen temel varsayımların kötüye kullanılmasıyla. Bir arada ele alındığında, bu iki olay bir dizi tek seferlik saldırıdan daha organize bir şeye işaret ediyor, Kuzey Kore’nin kripto sektöründen fon çalma çabalarını artırmaya devam etmesiyle birlikte. ENS Labs’in bilgi güvenliği başkanı ve genel danışmanı Alexander Urbelis, “Bu bir dizi olay değil; bu bir düzen devam ediyor” dedi. “Bir tedarik programından yama yoluyla çıkamazsınız.” Drift ve Kelp açıkları üzerinden sadece iki haftadan biraz fazla sürede 500 milyon dolardan fazla para çekildi. Kelp açığının temelinde, şifre kırma veya anahtar çözme bulunmamaktadır. Sistem aslında tasarlandığı gibi çalıştı. Saldırganlar, sisteme beslenen verileri manipüle ederek sistemin bu tehlikeye düşürülmüş girdilere dayanmasını sağladı ve gerçekte hiç gerçekleşmemiş işlemlerin onaylanmasına neden oldu. — Margaux Nijkerk Daha fazla oku.

KELP DAO HACKİNDEN ETKİLENEN AAVE: Bir saldırgan, geçerli gibi görünen bir transfer mesajı taklidi yaparak bu yapılandırmayı istismar etti. Sistem, tokenlar gönderici zincirden hiç çıkarılmamış olmasına rağmen transferi onayladı; bu da geri teminat olmaksızın yeni tokenların fiilen yaratılması anlamına geliyordu ve Ethereum tarafındaki köprüden 116.500 rsETH serbest bırakıldı. Saldırgan, varlıkları açık piyasada satmak yerine, rapora göre 89.567 rsETH'yi teminat olarak Aave'ye yatırdı ve Ethereum ile Arbitrum genelinde yaklaşık 190 milyon dolar değerinde ETH ve ilgili varlıkları ödünç aldı. Bu durum Aave'yi teminatının dayanağı önemli ölçüde zayıflamış varlıklara karşı savunmasız bıraktı. Aave Labs, riski hızlıca kontrol altına almak için harekete geçtiğini belirtti. Sadece birkaç saat içinde protokol, tüm uygulamalarında rsETH piyasalarını dondurdu, kredi-değer oranlarını sıfıra çekti ve varlık karşılığında yeni borçlanmayı durdurdu. Sonuç şimdi büyük ölçüde Kelp'in zarar açığını nasıl yönettiğine bağlı. Kayıplar tüm rsETH sahiplerine yayılırsa, token yaklaşık %15'lik bir değerden kopma (stake edilen tokenların değeri gerçek ETH değerine uymayacak) yaşayacak ve bu da Aave için yaklaşık 124 milyon dolar tutarında kötü borç anlamına gelecek. Kayıplar yalnızca Layer 2 ağlarına izole edilirse, etki çok daha ciddi olacak; kötü borç yaklaşık 230 milyon dolara yükselerek Arbitrum ve Mantle gibi ağlarda yoğunlaşacaktır.— Margaux Nijkerk Daha fazla oku.

COINBASE, KUANTUM BİLGİSAYAR RİSKLERİ HAKKINDA MAKALE KOMİSYONU VERDİ: Coinbase tarafından hazırlanan yeni bir rapor, temkinli ancak acil bir uyarı veriyor: Kuantum hesaplama yarın kriptoyu kırmayacak, ancak sektör beklemeye tahammül edemez. Stanford Üniversitesi’nden Dan Boneh, Ethereum Vakfı’ndan Justin Drake ve Eigen Labs’den Sreeram Kannan gibi önde gelen kriptograflar ve akademisyenlerin yer aldığı bağımsız bir danışma kurulunun kaleme aldığı 50 sayfalık makale, günümüzdeki blokzincirlerin hala güvenli olduğunu, ancak yaygın olarak kullanılan şifrelemeyi kırabilecek gelecekteki “hata toleranslı kuantum bilgisayar” olasılığının giderek artmakta olduğunu ve hazırlıkların şimdi başlaması gerektiğini ortaya koyuyor. Son aylarda, kuantum riskine dair endişeler ana akıma daha fazla nüfuz etti. Google araştırmacıları, yeterince gelişmiş bir kuantum bir bilgisayar bir gün Bitcoin’in kriptografisini kırabilir. Önde gelen kripto ekosistemleri, yanıtlarını şekillendirmeye çoktan başladılar. Ethereum Vakfı kuantum bilgisayarlara karşı güvenli olması amaçlanan yeni tür dijital imzalar önerdi, iken Solana ve diğerleri, kuantuma dirençli cüzdan tasarımları üzerinde denemeler yapıyor. Rapor, mevcut kuantum makinelerinin Bitcoin, Ethereum ve diğer ağların temelini oluşturan kriptografiyi kırmak için henüz yeterince güçlü olmadığını vurgulamaktadır. Standart şifrelemenin kırılması, hâlâ büyük bir mühendislik zorluğu olarak değerlendirilen muazzam bir hesaplama yükü gerektirecektir. — Margaux Nijkerk Daha fazla oku.

Diğer Haberlerde

• Kelp DAO tarafından elde edilen bir miktar artık herhangi bir yere gitmeyecek. Arbitrum'un Güvenlik Konseyi yaklaşık 71 milyon dolar değerinde 30.766 ETH'yi dondurdu Pazartesi gecesi, Cumartesi günü gerçekleşen 292 milyon dolarlık rsETH istismarıyla bağlantılı fonları, sadece Arbitrum yönetimi tarafından alınacak ek bir işlemle erişilebilen ara bir cüzdana taşıdı. Konsey, istismarcının kimliğiyle ilgili kolluk kuvvetlerinin görüşleri doğrultusunda hareket ettiğini ve dondurmanın \"herhangi bir Arbitrum kullanıcısını veya uygulamasını etkilemeden\" gerçekleştirildiğini belirtti. Arbitrum'un X'teki açıklamasına göre transfer, 20 Nisan saat 23:26 ET'de tamamlandı. Çalınan fonlar, artık başlangıçta bu fonlara sahip olan adresin kontrolü altında değil. — Shaurya Malwa Daha fazla oku.
• Bir Polymarket sözleşmesi Kelp DAO'nun hafta sonu gerçekleşen 292 milyon dolarlık açık istismarıyla oluşan zararları doğrudan etkilenenlerin ötesine yayacağına dair net bir yanıt vermiyor: muhtemelen yaymayacak. Bahisçiler, Kelp'in zararları “toplumsallaştırma” veya Ethereum'da saldırıya uğramayan ancak diğer zincirlerdeki kullanıcıların acısını paylaşmaya zorlayacak bir mekanizma uygulama ihtimaline %14 şans tanıyor. Saldırganlar 'ı boşalttı.yaklaşık 116.500 rsETH LayerZero destekli bir köprüden, tokeni destekleyen rezervlerin 20'den fazla blok zinciri arasında tutulduğu yerden. Bu durum sistemin bazı bölümlerinin eksik teminatlı kalmasına yol açtı ve bazı sahiplerin artık ether (ETH) tarafından tamamen desteklenmeyen tokenlere sahip olmalarına neden oldu. “Zararları toplumsallaştırmak” ifadesi, Kelp'in kaybı yalnızca kullanıcılara ve risk altındaki köprüye bağlı protokollere bırakmak yerine, eksikliği Ethereum ana ağı da dahil olmak üzere tüm rsETH sahipleri arasında yeniden dağıtması anlamına gelir. Bu yaklaşımın en çok atıfta bulunan emsali 2016 yılında geldi, Bitfinex zararları dayattığında60 milyon dolarlık bir hack sonrası tüm kullanıcılardan alınarak, kapanmayı önlemek için zararın karşılıklı hale getirilmesi sağlandı. — Sam Reynolds Daha fazla oku.

Düzenleyici ve Politika

• Nisan ayı, kripto Clarity Yasası için kayıp bir sebep gibi görünse de, lobi yapanlar ve piyasa yapısı tasarısının yavaş ilerleyişine odaklanan bir milletvekili yardımcısına göre, Mayıs ayı içinde ABD Senatosu komitesi oturumu, kritik piyasa yapısı mevzuatını yaşatabilir; ancak bunun Temmuz ayına kadar genel Senato oylamasına ulaşması gerekir. Yasama takvimi bu yıl için yer kalmadığını gösteriyor, ancak bir Senato yardımcısı CoinDesk’e, Cumhuriyetçi Senatör Thom Tillis’in bankacılarla stablecoin getiri endişeleri üzerine görüşmelerini tamamlamasına olanak tanımak adına iki haftalık olası yeni bir gecikmenin henüz bu çalışmayı geri dönülmez noktaya itmediğini söyledi. Yardımcı ayrıca, merkeziyetsiz finans (DeFi) korumaları üzerine önceki müzakerelerin fiilen sonuçlandığını, bu durumda komite onayına engel olacak çok fazla başka unsur kalmadığını belirtti. Kripto endüstrisinin karşılaştığı başlıca sorunlardan biri (bankacılık sektörünün stablecoin ödülleri konusundaki inatçı itiraz engelini aşabilirse) bill’in geçmesi gereken Senato Bankacılık Komitesi oturumunun daha birçok adımın sadece ilki olmasıdır. — Jesse Hamilton Daha fazla oku.
• Tron yaratıcısı Justin Sun, Salı günü, ABD Başkanı Donald Trump'ın ailesi üyeleri tarafından desteklenen stablecoin ve kripto şirketi World Liberty Financial'a dava açtı. Sun, projenin $WLFI varlıklarını haksız yere kilitlediğini, sahte beyanlarda bulunduğunu ve kendisine tehditler ile iftiralar attığını iddia etti. Dava açıldı, Trump’ın kendisine olan desteğine dair bir satır içeren, World Liberty’nin liderliğinin Sun’ın tokenleri biçiminde mülkleri “yasa dışı bir plan çerçevesinde ele geçirme” girişiminde bulunduğunu iddia etti; Sun ise bu tokenleri 2024 yılında World Liberty ekibinin teklifinde bulunması sonrası satın aldığını ileri sürdü. “World Liberty için kritik olan o dönemde, Bay Sun sadece projenin merkezsiz finansın benimsenmesini teşvik edeceği iddiaları nedeniyle değil — Bay Sun’ın derinden önem verdiği ve hayatının büyük bir bölümünü adadığı bir konu — aynı zamanda Trump ailesinin projeyle olan ilişkisi nedeniyle World Liberty’den 45 milyon dolar değerinde $WLFI tokeni satın aldı,” dava metninde belirtildi.— Nikhilesh De & Sam Reynolds Daha fazla oku.

Takvim

• 5-7 Mayıs 2026: Konsensüs, Miami
• 2-3 Haziran 2026: Konuşma Kanıtı, Paris
• 8-10 Haziran 2026: ETHConf, New York
• 29 Eylül-1 Ekim 2026: Kore Blokzincir Haftası, Seul
• 7-8 Ekim 2026: Token2049, Singapur
• 3-6 Kasım 2026: Devcon, Mumbai
• 15-17 Kasım 2026: Solana Breakpoint, Londra