Ödül Merkezi 
DeFi'nin kilitli toplam değeri (TVL), 18 Nisan ile 20 Nisan arasında yaklaşık 99 milyar dolardan 85 milyar dolara düştü. Bu, son bir yıldaki en hızlı iki günlük düşüştü. Bu düşüşün tetikleyicisi, likit yeniden staking protokolü Kelp DAO'nun köprü sözleşmesinin 292 milyon dolarlık istismar edilmesiydi. rsETH token'ı dokuzdan fazla borç verme piyasasında teminat olarak kullanılıyordu. Saldırgan köprü sözleşmesini boşalttığında rsETH sabitini kaybetti ve DeFi kredi piyasalarındaki milyarlarca dolarlık teminat saatler içinde eridi. Aave yalnızca 36 saat içinde 6,6 milyar dolarlık çekim yaşadı çünkü kullanıcılar fonlarını çekmek için harekete geçti.
Asıl dikkat edilmesi gereken sayı 292 milyon dolar değil, 15 ay. Çünkü CryptoTimes, LayerZero mühendislerinin Kelp DAO'nun tek doğrulayıcılı köprü mimarisini kritik bir açık olarak işaretlediğini bundan tam 15 ay önce bildirmişti. Kelp bu uyarıyı kabul etti fakat bir önlem almadı.
Kelp İstismarı Nasıl Gerçekleşti?
Saldırgan, Kelp DAO'nun Ethereum ana ağı ile protokolün yeniden staking katmanı arasındaki işlemleri doğrulayan tek doğrulayıcılı köprüsünü hedef aldı. LayerZero güvenlik ekibi Ocak 2025'te bu mimarinin tek hata noktası oluşturduğunu ve doğrulayıcı anahtarının ele geçirilmesi halinde köprünün tamamen kontrol edilebileceğini vurguladı.
18 Nisan'da saldırgan, tam olarak bu zayıf noktayı istismar etti. İlk inceleme raporlarına göre, bir Kelp ekibi üyesiyle yapılan sosyal mühendislik saldırısı sonucu doğrulayıcı anahtarını ele geçirdi ve Ethereum ana ağında teminatsız rsETH üretti. Üretilen token'lar hemen borç verme protokollerine teminat olarak yatırıldı ve karşılığında ETH ve stabilcoinler ödünç alındı, ardından fonlar birden fazla zincir üzerinden taşındı. Kelp'in izleme sistemi uyarı verdiğinde fonlar çoktan çıkarılmıştı.
Toplam kayıp 292 milyon dolar olsa da aslında zarar bunun çok ötesindeydi; çünkü rsETH, DeFi borç verme ekosisteminin altyapısında temel bir unsur olarak kullanılıyordu.
292 Milyon Dolar Nasıl 14 Milyar Dolarlık Zarara Yol Açtı?
Olayın etkisi, çalınan tutardan çok rsETH'nin DeFi'deki konumuyla ilgiliydi.
rsETH gibi likit yeniden staking token'ları, farklı protokoller arasında kullanılabilmek için tasarlanmıştır. Kullanıcılar ETH yatırır, rsETH alır ve bu rsETH'yi borç verme protokollerinde teminat olarak kullanabilir. Getiri katmanları üst üste gelir, sermaye verimliliği artar ancak sistemik risk de aynı ölçüde büyür.
İstismar rsETH'nin sabitini kırınca dokuz protokol aynı anda rsETH piyasalarını dondurdu. Bu tokenı teminat olarak kullanan borçlular, tasfiye riskiyle karşı karşıya kaldı ya da pozisyonlarından çıkamadıklarını gördü. Çünkü teminatsız basım nedeniyle rsETH'nin sabitini kaybetmesi, bu token teminatlı tüm pozisyonların güvencesiz kalmasına yol açtı.
En büyük etki Aave'de yaşandı. Kullanıcılar, Aave'nin doğrudan istismar edilmemiş olmasına rağmen, teminat olarak kullanılan rsETH'nin değerine artık güvenmedikleri için 36 saat içinde 6,6 milyar dolar çekti. Bu bir "banka koşusu" mantığıydı: Teminatın kalitesinden emin olamayanlar, önce fonunu çeker.
| Protokol | Alınan Aksiyon | Tahmini Çekim |
|---|---|---|
| Aave | rsETH piyasalarını dondurdu, yeni yatırımları durdurdu | $6.6B |
| Compound | rsETH'nin listeden çıkarılması için acil yönetim oylaması | $1.2B |
| Morpho | Otomatik risk parametresi ayarı | $890M |
| Euler | rsETH kasalarını dondurdu | $740M |
| Spark (MakerDAO) | rsETH'yi teminat olarak askıya aldı | $620M |
Kalan protokoller de saatler içinde reaksiyon verdi ve 20 Nisan itibarıyla DeFi TVL yaklaşık 85 milyar dolara geriledi. Bu seviye, Ekim 2025 zirvesinin yaklaşık %50 altında ve son bir yılın en düşüğü.
Kelp'in Göz Ardı Ettiği 15 Aylık Uyarı
Bu bölüm, olayı bir hackten çıkarıp yönetişim sorununa dönüştürüyor.
Ocak 2025'te LayerZero'nun çapraz zincir güvenlik ekibi, Kelp dahil likit yeniden staking köprülerine yönelik bir iç değerlendirme yayımladı. CryptoTimes'ın araştırmasına göre LayerZero, tek doğrulayıcılı köprü modelinin "50 milyon dolar üzeri varlıklar için kritik derecede yetersiz" olduğunu özellikle belirtti. O sırada Kelp'in köprüsünde yaklaşık 180 milyon dolar vardı.
LayerZero, beş bağımsız doğrulayıcıdan oluşan ve 3'te 2 çoklu imza gerektiren bir yapı önerdi. Kelp mühendislik ekibi, Şubat 2025'te bu raporu aldığını onayladı.
Aradan 15 ay geçmesine rağmen köprü hâlâ tek doğrulayıcı ile çalışıyordu. Çoklu imza veya ek güvenlik katmanı eklenmemişti. Protokolün TVL'si 180 milyon dolardan 400 milyon doların üzerine çıkarken, aynı yetersiz mimariyle korunmaya devam etti.
DeFi topluluğunun tepkisi öngörülebilir ve haklıydı. Artık zorunlu güvenlik denetimi açıklamaları, köprü sigorta şartı ve asgari doğrulayıcı sayısı talepleri, tüm büyük borç verme protokollerinin yönetişim forumlarında gündeme taşınıyor. Ancak rahatsız edici gerçek, benzer önerilerin daha önce de — Wormhole istismarı sonrası 2022'de, Multichain'in 2023'te çöküşü sonrası — dolaşıma girdiğidir. Sektör, her köprü sorunu sonrası aynı tartışmayı tekrarlamaktadır.
TVL Düşüşü Şu Anda DeFi Riski Hakkında Ne Gösteriyor?
85 milyar dolarlık TVL, sadece manşet için değil, başka açılardan da önemli.
DeFi TVL, Ekim 2025'te yaklaşık 170 milyar dolar ile zirveye ulaşmıştı. Kelp istismarı öncesi 99 milyar dolara inmişti; burada %42'lik bir düşüş, piyasa zayıflığı ve azalan getiri arayışından kaynaklanıyordu. Kelp istismarı ile bu düşüş iki günde %14 daha hızlandı ve TVL son bir yılın en düşük seviyesine indi.
Çıkışların bileşimi de toplam kadar önemli. DeFiLlama'nın protokol akış verilerine göre, en büyük çekimler borç verme protokollerinden (Aave, Compound, Euler) geldi, DEX'lerden veya getiri toplayıcılardan değil. Bu durum, bir likidite krizinden çok teminat güveni krizini gösteriyor. Yatırımcılar Uniswap ve Curve'de token değişimi yapmaya devam ediyor; fakat teminat kalitesi belirsiz olan havuzlara token yatırmak istemiyorlar.
Karşılaştırma açısından, Terra/Luna çöküşünden sonra Mayıs 2022'de TVL yaklaşık 30 milyar dolar düşmüştü. Kelp kaynaklı 14 milyar dolarlık düşüş miktar olarak daha düşük, fakat başlangıç tabanı oranında benzer bir şok yaratıyor. Mekanizma ise neredeyse aynı: Sabitini koruması gereken bir token sabitini kaybediyor ve bu token'ı teminat olarak entegre eden tüm protokoller zincirleme sorun yaşıyor.
DeFi Protokolleri Şu Anda Ne Yapıyor?
Büyük protokoller, acil dondurmanın ötesinde yapısal değişiklikler başlatıyor.
Aave'nin yönetişim forumunda şu anda üç aktif öneri var: İlki, tek bir likit staking türevini toplam teminatın %15'iyle sınırlamak. İkincisi, kabul edilen tüm teminat token'larının belli bir eşiğin üstünde köprü sigortasına sahip olmasını zorunlu kılmak. Üçüncüsü, çapraz zincir teminat türleri için üç ayda bir bağımsız köprü denetimi ve denetim yayımlanmazsa otomatik delist edilmeleri.
MakerDAO'nun Spark protokolü daha ileri giderek, temel teminat olarak yalnızca en az 5-9 çoklu imza doğrulayıcı içeren köprüye sahip likit yeniden staking token'larını kabul edeceğini duyurdu. Bu standart, piyasadaki çoğu likit yeniden staking token'ını artık hariç bırakıyor.
Compound'da istismar sonrası 18 saat içinde yapılan acil yönetim oylaması, protokol tarihinin en hızlı kararıydı. Oylama ile rsETH kalıcı olarak listeden çıkarıldı ve yeni teminat türleri için zorunlu güvenlik inceleme süresi 48 saatten 72 saate çıkarıldı.
Bunlar anlamlı, ancak reaktif değişiklikler. DeFi'de kalıp hep aynı: Bir açık istismar edilince herkes o açığı yamalar, fakat bir sonraki açık, henüz istismar edilmemiş bir vektörde çıkar.
Sıkça Sorulan Sorular
DeFi TVL'si iki günde neden 14 milyar dolar düştü?
Kelp DAO'nun köprü sözleşmesinin istismarı nedeniyle rsETH sabitini kaybetti. Bu token dokuz büyük borç verme protokolünde teminat olarak kullanılıyordu ve sabitin kırılması, teminat güveninin sarsılmasıyla toplu çekimlere yol açtı. Yalnızca Aave'den 36 saat içinde 6,6 milyar dolar çıktı.
Kelp istismarı önlenebilir miydi?
Mevcut tüm delillere göre evet, tamamen önlenebilirdi. LayerZero, 15 ay önce tek doğrulayıcılı köprünün kritik derecede yetersiz olduğunu işaret etmişti. Çoklu imza sistemi önerildi; Kelp uyarıyı kabul etti fakat önlem almadı.
DeFi TVL'si hızla toparlanır mı?
Toparlanma, borç verme protokollerinin yeni teminat standartlarını hızla uygulamasına ve genel piyasa koşullarına bağlı. TVL şu anda Ekim 2025 zirvesinin %50 altında ve teminat krizi mevcut piyasa düşüşüne ek güvensizlik getiriyor. Terra çöküşüne benzer geçmiş örnekler, toparlanmanın birkaç ay sürebileceğini gösteriyor.
DeFi borç verme protokollerinden fonlarımı çekmeli miyim?
Risk, henüz güncellenmiş güvenlik standartları olmadan likit yeniden staking token'ları teminat olarak tutan protokollerde yoğunlaşıyor. rsETH'yi donduran veya listeden çıkaran (Aave, Compound, Spark) ve daha sıkı teminat kuralları uygulayan protokoller anlık açığı kapattı. Varlıklarınızın hangi teminat karşılığı ödünç verildiğini kontrol ederek karar verin.
Sonuç
DeFi, Terra/Luna'dan bu yana en ciddi teminat krizini yaşadı. En dikkat çekici detay, çalınan 292 milyon dolar değil, açığın ekibe rapor edilip tam 15 ay boyunca dikkate alınmaması ve protokolün bu sürede üç kat büyümesidir. TVL şu anda 85 milyar dolar ile son 12 ayın en düşüğünde ve güvenin onarılması teknik yamalardan daha uzun sürebilir.
Sıkı teminat limitleri, zorunlu köprü denetimi ve çoklu imza gerekliliği getiren protokoller doğru yönde adım atıyor. Ancak bunlar, son istismarın çözümü; yapısal sorun ise devam ediyor. DeFi'nin "bileşebilirliği" hem en büyük avantajı hem de en büyük sistemik riski. Endüstri, teminat zincirlerinin bu karmaşıklığına uygun güvenlik standartları kurmadıkça, her likit staking türevi potansiyel bir rsETH riski taşımaya devam edecek.
Önümüzdeki iki haftada Aave'deki yönetişim oylamalarını takip edin. Eğer %15 teminat sınırı geçerse, bu yeni sektör standardı olacak ve bu tür açıkları önlemek için ilk ciddi yapısal güvenceyi oluşturacak.
Bu makale sadece bilgilendirme amaçlıdır ve finansal veya yatırım tavsiyesi niteliği taşımaz. Kripto para ticareti risk içerir. Yatırım kararlarınızdan önce kendi araştırmanızı yapmalısınız.
