Ödül Merkezi 
DeFi tarihinde şimdiye kadarki en büyük koordineli kurtarma süreci başlatıldı. 23 Nisan'da, Aave servis sağlayıcıları "DeFi United" adında, farklı protokoller arası bir yardım fonunu başlattı. Hedef, 18 Nisan'daki 292 milyon dolarlık Kelp DAO köprü saldırısının ardından rsETH teminatını yeniden sağlamak için 100.000 ETH toplamaktı. 24 Nisan itibarıyla fon yaklaşık 69.534 ETH (yaklaşık 161 milyon dolar) topladı ve katkı sağlayanlar Ethereum altyapısının önemli isimlerinden oluşuyor.
Bu, bireysel kullanıcıları tazmin etmeye yönelik bir DAO oylaması değil. Bu, en büyük DeFi borç verme protokolünde milyarlarca dolarlık kullanıcı mevduatını etkileyebilecek tek bir saldırının, sistemik bir kötü borç krizine yol açmasını önlemeye yönelik koordineli bir endüstri çabasıdır.
Kelp DAO’da Ne Oldu ve Aave Neden Maruz Kaldı?
18 Nisan’da saat 17:35 UTC’de, bir saldırgan Kelp DAO’nun LayerZero tabanlı köprüsünü kullanarak Ethereum ana ağındaki emanet kontratından 116.500 rsETH çekti. Bu miktarın o anki değeri yaklaşık 292 milyon dolar seviyesindeydi. Saldırı aslında oldukça basit bir açığı hedef aldı: Kelp köprüsü tek bir doğrulayıcı ile yapılandırılmıştı. Sadece bir LayerZero Dağıtık Doğrulayıcı Düğümü (DVN), zincirler arası mesajları onaylamak için yeterliydi. Saldırganlar bu doğrulayıcıya bilgi sağlayan iki RPC düğümünü ele geçirdi, DDoS saldırısı yaparak failover'u tetikledi ve sistemin UniChain üzerinde sahte bir yakım işlemini gerçekmiş gibi algılamasını sağladı.
Zehirli doğrulayıcı, sahte mesajı onayladı ve Ethereum tarafındaki kontrat, saldırganın kontrolündeki cüzdana 116.500 rsETH gönderdi. Kelp’in acil durdurucusu, kontratları 46 dakika sonra dondurdu; böylece 100 milyon dolar daha değerindeki iki ek girişimi engelledi, ancak ilk kayıp gerçekleşmişti.
Bu noktadan sonra sorun Aave’ye yansıdı. Saldırgan hemen 89.567 rsETH’yi Aave platformuna teminat olarak yatırdı ve Ethereum ile Arbitrum’da yaklaşık 190 milyon dolarlık WETH ve wstETH borç aldı. Borç alınan varlıklar gerçek ETH ve stake edilmiş varlıklar olsa da, teminat olarak gösterilen rsETH’lerin arkasında gerçek bir değer yoktu. Bu 89.567 rsETH artık teminatsız durumda ve likide edilirse Aave bu kaybı kötü borç olarak üstlenecek. Aave yönetim forumunda yapılan ilk tahminler, Kelp’in açığı zincirler arası dağıtma biçimine bağlı olarak potansiyel kaybın 123 milyon ile 230 milyon dolar arasında olabileceğini öne sürüyor.
DeFi United’a Kimler, Ne Kadar Katkı Sağladı?
Katılımcı listesi bu olayı daha önceki DeFi saldırılarından ayırıyor. Geçmişteki saldırılarda genellikle etkilenen protokol zararı üstleniyor, topluluk fonu düzenliyor ve saldırganın fonları geri göndermesini umuyordu. DeFi United, ilk kez birden fazla protokolün, teknik olarak başka bir protokolde gerçekleşen bir saldırının zararını birlikte üstlenmek için sermaye toplamasıdır.
| Katılımcı | Miktar | Yapı |
|---|---|---|
| Aave DAO (yönetim önerisi) | 25.000 ETH (~58M$) | DAO hazinesinden doğrudan katkı |
| Stani Kulechov (bireysel) | 5.000 ETH (~11,6M$) | Aave kurucusunun kişisel katkısı |
| Mantle Network | 30.000 ETH (~69,6M$) | 3 yıl vadeli kredi, Lido APR +%1, 130K AAVE delege şartı |
| Lido DAO | 2.500 stETH (~5,8M$) | Doğrudan taahhüt |
| EtherFi | Açıklanmadı | Onaylanmış katılımcı |
| Ethena | Açıklanmadı | Onaylanmış katılımcı |
| Ink Foundation | Açıklanmadı | Onaylanmış katılımcı |
| BGD Labs | Açıklanmadı | Onaylanmış katılımcı |
| Frax Finance | Yönetim oylaması bekleniyor | Destek sinyali |
| Bireysel katkıcılar | Çeşitli | Birden fazla küçük taahhüt |
| Toplam (24 Nisan itibarıyla) | ~69.534 ETH | ~161M$ toplandı, 100K ETH hedefleniyor |
Aave DAO’nun 25.000 ETH’lik önerisi tek seferdeki en büyük katkı. Bu öneri onaylanırsa, Aave en çok katkı sağlayan kurum olacak. Ancak Mantle’ın 30.000 ETH’lik kredisi en yaratıcı yapı olarak öne çıkıyor. Bu bir bağış değil; Mantle, Aave’ye üç yıl vadeyle, Lido’nun getiri oranı artı %1 faizle ETH ödünç veriyor ve Aave’nin 130.000 AAVE yönetim token’ını Mantle’a delege etmesini şart koşuyor. Bu sayede Mantle, Aave’ye likidite sağlarken yönetimde de söz sahibi oluyor.
Kulechov’un 5.000 ETH’lik kişisel katkısı ise duruma olan güveni gösteriyor. Bir protokol kurucusunun yaklaşık 11,6 milyon dolarlık kişisel varlığını kurtarma fonuna koyması, bu kişinin protokolün kurtarılmaya değer olduğunu düşündüğüne işaret ediyor.
Arbitrum Neden 71 Milyon Dolarlık Fonları Ayrı Dondurdu?
DeFi United organize olurken, Arbitrum Güvenlik Konseyi farklı bir yaklaşım sergiledi. Konsey, saldırıyla bağlantılı 30.766 ETH’yi (yaklaşık 71 milyon dolar) dondurarak yönetim kontrollü bir cüzdana taşıdı. Bu, kaybolan toplam miktarın yaklaşık dörtte birinin kurtarılması anlamına geliyor.
Dondurma işlemi, saldırganın çalınan rsETH’yi teminat olarak gösterip Arbitrum üzerinden varlık borçlanması yapması nedeniyle gerçekleşti. Arbitrum Güvenlik Konseyi, acil durum yetkileriyle saldırganın pozisyonunu, fonlar başka zincirlere aktarılmadan önce dondurma kararı aldı. Saldırgan ise dondurma sonrası fonları zincirler arası taşımaya başlamıştı. Bu nedenle, DeFi United fonunun halen oluşan açığı kapatması gerekmektedir.
Bu durum, kurtarma sürecinde ilginç bir ayrım oluşturuyor. Arbitrum merkezi acil durum yetkilerini kullanarak fonları zincirinde dondurdu. DeFi United ise merkeziyetsiz koordinasyon ile merkezi müdahalenin tam olarak kapatamadığı açığı karşılamaya çalışıyor. İki yaklaşımın paralel çalışması, sektör için bir ilk.
Lazarus Group Bağlantısı ve Köprü Güvenliği İçin Anlamı
LayerZero, saldırının Kuzey Kore bağlantılı Lazarus Group’a ve özellikle TraderTraitor alt grubuna ait olduğunu öne sürdü. Bu iddia, saldırıdan yaklaşık on saat önce Tornado Cash ile yapılan ön fonlama, ele geçirilen altyapıda kendini imha eden dosyaların kullanılması ve alınan fonların konsolidasyon kalıplarının DPRK bağlantılı saldırılarla benzerlik göstermesine dayanıyor.
Bu iddia doğrulanırsa, Lazarus Group’un Nisan 2026’da sadece 18 günde DeFi’den 575 milyon dolardan fazla çektiği görülüyor; 1 Nisan’daki Drift Protocol ile 18 Nisan’daki Kelp saldırısı birleştirildiğinde. Farklı vektörler, farklı protokoller, aynı tehdit aktörü.
2026’daki operasyonların büyüklüğü, grubun 2022 yılındaki 1,7 milyar dolarlık rekorunu aşabileceğini gösteriyor.
Ancak Kelp ve LayerZero arasındaki sorumluluk tartışması da dikkat çekici. LayerZero, Kelp’in uyarılara rağmen tek doğrulayıcı ile köprüyü kurduğunu, Kelp de LayerZero’nun varsayılan ayarlarının açıklara yol açtığını iddia etti. Gerçek muhtemelen ortada bir yerde. Ancak trader ve DeFi kullanıcıları açısından asıl çıkarım şudur: Tek doğrulayıcıya dayalı köprü kullanan her protokol, piyasanın fiyatlamadığı bir risk taşır. Sağlamlaştırılmış çoklu-doğrulayıcı yapısı bu tür saldırıları çok daha zor hale getirecektir.
DeFi United 100.000 ETH Hedefine Ulaşırsa Ne Olacak?
100.000 ETH hedefi rastgele belirlenmedi. Bu miktar, rsETH teminatının tam olarak yeniden sağlanması ve her bir rsETH sahibinin 1:1 oranında ETH talep edebilmesi için gereken miktardır. Tam restorasyon olmazsa, rsETH kalıcı olarak teorik değerinin altında işlem görür, Aave bilançosunda kötü borç oluşur ve rsETH’yi teminat kabul eden tüm protokoller zarar yazar.
Fon hedefine ulaşırsa, rsETH tekrar sabitlenir, Aave’nin kötü borcu yardım fonu ile karşılanır ve DeFi ekosistemi, diğer borç protokollerinden olası toplu çekimleri önlemiş olur. Saldırı sonrası Aave’nin toplam kilitli varlığı, kullanıcıların temkinli şekilde çekim yapmasıyla 6 milyar dolar azaldı. Güvenin geri kazanılması, eksik ETH’nin yerine konması kadar önemlidir.
DeFi genelinde ise etki hemen hissedildi. Toplam DeFi TVL’si, saldırıdan sonraki iki günde 13 milyar dolardan fazla azaldı. Bu, doğrudan rsETH maruziyeti olmayan protokollerden de çıkışlar yaşanmasından kaynaklanıyor. DeFi United’ın amacı sadece bilanço açığını kapatmak değil, korku yayılımını da durdurmaktır.
Doğrudan rsETH tutmayan kullanıcılar için bile sonuçlar önemlidir. Aave, ekosistemin en büyük borç verme protokolüdür ve sağlığı tüm piyasaların borçlanma oranlarını, teminat derinliğini ve likiditesini etkiler. Aave’nin bilançosu kalıcı zarar görürse, platformda borçlanma maliyetleri artar ve mevduat sahipleri, protokol gelirinin açık kapatmaya yönelmesiyle daha düşük getiri elde edebilir.
Eğer fon hedefe ulaşamazsa, kalan açık Aave’nin sorunu olur. Protokol hazinesi ve güvenlik modülü açığı üstlenmek zorunda kalır, bu da güvenlik modülünden AAVE token satışlarına ve yönetişim tokenında olası fiyat baskısına yol açabilir.
Sıkça Sorulan Sorular
DeFi United nedir?
DeFi United, Aave servis sağlayıcılarının başlattığı, 100.000 ETH toplamayı ve Kelp DAO saldırısı sonrası rsETH teminatını yeniden sağlamayı amaçlayan koordineli bir protokoller arası yardım fonudur. Katılımcılar arasında Aave DAO, Lido, Mantle, EtherFi, Ethena ve diğerleri bulunuyor. 24 Nisan itibarıyla fon yaklaşık 69.534 ETH topladı.
Kelp DAO saldırısı nasıl gerçekleşti?
Saldırgan, Kelp’in tek LayerZero doğrulayıcısına bilgi sağlayan RPC düğümlerini ele geçirerek sistemin sahte zincirler arası mesajı onaylamasını sağladı ve Ethereum ana ağından 116.500 rsETH (292 milyon dolar) çekti. Çalınan tokenler Aave’ye teminat olarak yatırılarak 190 milyon dolarlık gerçek varlık borçlandı.
Saldırı Kelp’e yapılmışken Aave neden etkileniyor?
Saldırgan, Aave’de 89.567 teminatsız rsETH’yi teminat olarak kullanıp yaklaşık 190 milyon dolarlık WETH ve wstETH borçlandı. Bu pozisyonlar likide edilirse, teminatın gerçek karşılığı olmadığı için Aave kötü borcu üstleniyor. Potansiyel kayıp, açığın dağılımına göre 123 milyon ila 230 milyon dolar arasında değişebilir.
Bu, DeFi tarihinin en büyük yardım fonu mu?
Her açıdan evet; bu, sektör tarihinde görülen en büyük koordineli DeFi kurtarma çabasıdır. Geçmişteki saldırılarda, genellikle ilgili protokol zararı tek başına üstlenir, ödül programı yürütür veya topluluk fonu açardı. DeFi United, büyük protokollerin sınır ötesi olarak on binlerce ETH’yi başka bir protokoldeki saldırının zararını karşılamak için bir araya getirdiği ilk örnektir.
Sonuç
DeFi United, 100.000 ETH hedefinin yaklaşık %70’ine bir haftadan kısa sürede ulaşarak, Aave, Mantle, Lido, Kulechov ve artan katılımcı listesiyle rsETH’nin teminatını yeniden sağlamak için sermaye taahhüdünde bulundu. Önümüzdeki 48-72 saat kritik. Eğer Aave DAO yönetim oylaması geçerse ve açık kapanırsa, DeFi ilk sistemik kötü borç krizini önler ve merkeziyetsiz koordinasyonun büyük ölçekte işleyebileceğini kanıtlar. Hedefe ulaşılamazsa, Aave’nin güvenlik modülü devreye girer, AAVE token sahipleri seyrelme ile karşılaşır ve ekosistemdeki her borç protokolü teminat yönetimiyle ilgili yeni sorularla karşılaşır. Lazarus Group’un bağlantısı ise düzenleyiciler açısından jeopolitik bir boyut ekliyor. Bir devlet destekli aktörün 18 günde DeFi’den 575 milyon dolar çekmesi, köprü güvenliği standartlarına yönelik düzenleyici adımları hızlandırabilecek bir başlık. DeFi borçlanma protokollerinde pozisyonu olan herkes için, bu hafta DeFi United’ın sonucu dikkatle takip edilmeli.
Bu makale bilgilendirme amaçlıdır ve finansal ya da yatırım tavsiyesi niteliği taşımaz. Kripto para ticareti önemli riskler içerir. Lütfen işlem yapmadan önce kendi araştırmanızı yapınız.
