Hackerlar, Kelp DAO’ya bağlı bir çapraz zincir köprüsünü sömürdüler ve 2026’nın en büyük merkeziyetsiz finans saldırısı olarak bildirilen yaklaşık 300 milyon dolarlık dijital varlıkların çalınmasına yol açtı.
Saldırı, farklı blokzincir ağları arasında transferleri mümkün kılan LayerZero teknolojisiyle inşa edilmiş bir köprüyü hedef aldı. Raporlara göre, saldırganlar olay sırasında yaklaşık 292 milyon dolar değerinde olan yaklaşık 116.500 rsETH tokenını boşalttı.
İhl, saldırganların köprü altyapısı üzerinden yetkisiz işlemler gerçekleştirmesiyle 18 Nisan 2026’da gerçekleşti. Ek fon toplama girişimleri tespit edildi ancak başarılı olamadı; bu da toplam kayıpları sınırladı.
Kelp DAO, etkinliği tespit ettikten kısa bir süre sonra etkilenen sözleşmeleri durdurdu; böylece daha fazla yetkisiz transferi önlemek için çalıştı.
Çapraz zincir köprüler, ayrı blokzincir ekosistemleri arasında varlıkların transferini kolaylaştırmak için tasarlanmıştır. Bu sistemler, ağlar arasında işlemleri doğrulayan doğrulama mekanizmalarına dayanır. Bu durumda, istismar bu mekanizmaların manipüle edilip meşru olmayan çekimleri yetkilendirmesini içeriyordu.
Çalınan varlıklar, protokolün arzının önemli bir kısmını temsil ediyor. Tahminler, boşalan fonların o dönemde toplam rsETH arzının yaklaşık %18’ini oluşturduğunu gösteriyor.
Olay, aynı altyapıya dayanan birden fazla merkezi olmayan finans platformunu etkiledi; çünkü çapraz zincir köprüler genellikle farklı hizmetler arasında paylaşılan bileşenler olarak hizmet veriyor.
Saldırganların kimliği hakkında kesin bir atıflama yapılmadı. Soruşturmalar devam ediyor ve blokzincir analistleri çalınan fonların farklı ağlar ve hizmetler arasındaki hareketini takip ediyor.
Zincirler arası köprüler, sahip oldukları büyük varlık havuzları ve doğrulama sistemlerinin karmaşıklığı nedeniyle önceki olaylarda defalarca hedef alınmıştır. Güvenlik araştırmaları, bu mekanizmaları merkezi olmayan finans mimarilerinde yaygın bir başarısızlık noktası olarak belirlemiştir.
Exploit’in tam teknik detayları açıklanmadı. Kelp DAO ve ilgili altyapı sağlayıcıları, olayın analizinin devam ettiğini belirtti.