Blockchain güvenliği, kripto piyasasının en zorlu başlıklarından biri olmaya devam ediyor. Özellikle farklı ağlar arasında varlık transferi sağlayan köprüler, son yıllarda saldırganların en sık hedef aldığı alanlardan biri haline geldi. Son örnek ise Verus Protocol’ün Ethereum köprüsünde yaşanan güvenlik ihlali oldu.
Pazartesi günü Verus-Ethereum bridge olarak bilinen cross-chain köprüde büyük çaplı bir saldırı tespit edildi. Bu köprü, kullanıcıların Verus ağı ile Ethereum arasında ETH ve ERC-20 varlıkları dahil olmak üzere değer transferi yapmasını sağlıyor. Ancak saldırgan, sahte bir cross-chain transfer mesajı üzerinden sistemi kandırarak köprü rezervlerinden milyonlarca dolarlık varlık çekmeyi başardı.
On-chain güvenlik platformu Blockaid, X üzerinden yaptığı açıklamada Verus-Ethereum köprüsünde devam eden bir saldırı tespit ettiklerini duyurdu. Paylaşılan işlem verilerine göre saldırgan, 1.625 ETH, 147.659 USDC ve Threshold Network’ün tokenleştirilmiş Bitcoin varlığı olan 103,57 tBTC v2 transfer etti. Bu varlıkların toplam değeri 11,5 milyon doların üzerinde hesaplandı.
Blockchain güvenlik şirketi PeckShield da söz konusu işlemi güvenlik açığının istismar edildiği bir saldırı olarak değerlendirdi. On-chain verilere göre saldırgan, çaldığı varlıkları daha sonra ETH’ye çevirdi. İlgili cüzdanda 5.402 ETH tutulduğu görülürken, bu miktarın değeri 11 milyon doların üzerinde seyrediyor.
Sahte transfer mesajı sistemi kandırdı
İlk bulgular, saldırının özel anahtar ele geçirilmesi ya da klasik bir imza doğrulama açığından kaynaklanmadığını gösteriyor. Blockaid’e göre saldırgan, köprüyü gerçek olmayan transfer talimatlarını geçerli sanacak şekilde kandırdı. Böylece protokol, rezervlerindeki varlıkları saldırganın cüzdanına gönderdi.
Blockaid, olayın 2022 yılında yaşanan Nomad Bridge ve Wormhole saldırılarıyla benzerlik taşıdığını belirtti. Nomad saldırısında yaklaşık 190 milyon dolar, Wormhole saldırısında ise 325 milyon dolar değerinde varlık kaybedilmişti. Bu nedenle Verus saldırısı miktar açısından daha küçük görünse de kullanılan yöntem açısından kripto köprülerindeki temel güvenlik sorunlarını yeniden gündeme taşıdı.
Blockaid’in teknik değerlendirmesine göre sorun; ECDSA imzasının aşılması, notary key ele geçirilmesi ya da hash-binding hatası değildi. Platform, açığın “checkCCEValues” içindeki kaynak miktar doğrulamasının eksik olmasından kaynaklandığını belirtti. Şirkete göre bu eksiklik, Solidity tarafında yaklaşık 10 satırlık bir düzeltmeyle kapatılabilecek türden bir güvenlik açığıydı.
Blockchain güvenlik sağlayıcısı ExVul da benzer bir değerlendirme yaptı. Şirket, saldırganın “sahte cross-chain import payload” kullandığını ve bu verinin köprünün doğrulama akışından geçmeyi başardığını aktardı. Bunun sonucunda saldırgan, kendi cüzdanına bağlı üç farklı transferi işleme aldırdı.
Köprüler yine en zayıf halka oldu
Verus-Ethereum saldırısı, kripto piyasasında köprü altyapılarının ne kadar kritik bir risk alanı olduğunu bir kez daha gösterdi. Cross-chain köprüler, farklı blockchain ağları arasında likidite ve kullanım kolaylığı sağlıyor. Ancak aynı zamanda birden fazla ağ, doğrulama katmanı ve mesajlaşma sistemi arasında çalıştıkları için saldırı yüzeyini de genişletiyor.
Kripto borsası Phemex’in değerlendirmesine göre son dönemdeki en büyük kayıplar, doğrudan akıllı kontratlardan çok zincirler arası bağlantı ve mesajlaşma altyapılarını hedef alan saldırılardan kaynaklandı. Drift ve Kelp DAO saldırıları da bu eğilimin önemli örnekleri arasında gösteriliyor. Nisan ayında Kelp DAO’nun LayerZero üzerinden çalışan cross-chain mesajlaşma altyapısının hedef alınması, yaklaşık 293 milyon dolarlık kayba yol açmıştı.
Bu tablo, köprü saldırılarının geçmiş yıllarda olduğu gibi 2026’da da büyük kayıplara neden olabileceğini gösteriyor. İlk çeyrekte merkeziyetsiz finans protokollerinden 168,6 milyon dolardan fazla varlık çalındı. Nisan ayında ise yılın en büyük iki saldırısı kayıtlara geçti; Drift Protocol yaklaşık 280 milyon dolar, Kelp ise 292 milyon dolar kaybetti.
Verus tarafı, haberin hazırlandığı sırada saldırıyı resmi olarak doğrulamış değildi. Ancak Blockaid, PeckShield ve ExVul gibi güvenlik şirketlerinin on-chain verilere dayanan açıklamaları endişe veriyor.
