Blok zinciri güvenlik şirketi Blockaid’in aktardığına göre, Verus-Ethereum Köprüsü’nden 18 Mayıs 2026’da 11,58 milyon dolar çekildi. Saldırganlar, tek bir işlem dizisiyle 1.625 ETH, 103,6 tBTC ve yaklaşık 147.659 USDC’yi köprüden çıkardı. Açık halen devam ediyor; saldırı sürüyor ve fonlar çekilmeye devam ediyor.
Çalınan varlıklar hızla el değiştirdi. Saldırganlar, elde ettikleri likiditeyi Uniswap üzerinden yaklaşık 5.402 ETH’ye dönüştürdü. Bu durum, köprülerdeki istismar edilen sermayenin merkeziyetsiz finans (DeFi) ekosistemine ne kadar hızlı geri döndüğünü gösteriyor. Son dönemde, köprülerden varlık çekildikten hemen sonra başka varlıklara dönüştürülmesi standart bir yöntem haline geldi. Böylece, köprüdeki durağan varlıklar saatler içinde hareketli ETH’ye dönüşüyor.
Bu olay, DeFi güvenliği açısından yıkıcı geçen bir yıla ekleniyor. Sadece 2026’da protokoller ve köprülerden çalınan toplam tutar 750 milyon doları aştı. Köprü kaynaklı kayıplar ise tarihsel olarak 3,2 milyar doları geçti. Verus’taki açık, daha önce Wormhole ve Nomad köprülerinde yaşanan ve doğrulama eksikliğinden kaynaklanan benzer bir güvenlik zafiyetini yansıtıyor. Bu tek saldırının maliyeti, 2026’daki toplam DeFi kayıplarının yaklaşık %1,5’ine denk geliyor.
Köprüdeki Açık: Doğrulama Mantığında Boşluk
Verus-Ethereum Köprüsü’nün doğrulama mantığı, kriptografik kanıtların geçerliliğini kontrol ediyordu; ancak Verus tarafındaki varlıkların gerçekten Ethereum üzerindeki çekim taleplerini karşılayıp karşılamadığını teyit etmiyordu. Saldırganlar, matematiksel olarak geçerli ancak ekonomik olarak karşılığı olmayan işlemler oluşturarak 1.625 ETH, 103,6 tBTC ve 147.000 USDC’yi düşük maliyetle çekebildi. Bu, Wormhole ve Nomad köprülerinde de görülen, kriptografik geçerlilik ile ekonomik gerçeklik arasındaki boşluktan kaynaklanan bir zafiyet.
Verus, köprüyü “güvene gerek bırakmayan” ve akıllı sözleşme risklerine karşı dayanıklı olarak tanıtmıştı. Ancak bu istismar, sorunun akıllı sözleşme kodunda değil, geçerli kanıtların otomatik olarak geçerli teminat anlamına geldiğini varsayan mutabakat mantığında olduğunu gösterdi. Bir araştırmacının belirttiği gibi, bu açığın giderilmesi muhtemelen az miktarda ek doğrulama kodu ile mümkün olabilirdi. Buradaki temel çelişki, bir sistemin kriptografik olarak güvene gerek bırakmayan yapıda olsa bile, çekimlerin yatırılan varlıklarla birebir örtüşmesini sağlayan ekonomik kuralı uygulamada başarısız olabilmesi.
Bu zafiyet, köprü kaynaklı kayıpların neden 3,2 milyar doları aştığının temelinde yer alıyor. Köprüler, zincirler arası likiditeyi merkezileştirirken doğrulama sorumluluğunu dağıtıyor; saldırganların ise yalnızca bir tarafı aşması yeterli oluyor. Verus’taki istismar, acil ve zorunlu yamaların bile, temel mutabakat mantığı gerçek varlık teminatını doğrulamadıkça yeterli olmayacağını gösteriyor. Sektör, zincirler arası işlemleri hızlandırmaya devam ederken, güvenlik kontrolleri yetersiz kalıyor.
Etkiler ve Sonraki Adımlar: Likidite Kaybı ve Sistemik Risk
Verus-Ethereum Köprüsü’nden 18 Mayıs 2026’da yaşanan 11,58 milyon dolarlık kayıp, Verus ekosisteminden doğrudan likidite çıkışına yol açtı. Açık halen aktif ve saldırganlar fon çekmeye devam ediyor. Çalınan varlıklar, Uniswap üzerinden yaklaşık 5.402 ETH’ye dönüştürüldü. Bu hızlı dönüşüm, köprüdeki durağan varlıkların saatler içinde hareketli ETH’ye çevrilmesini sağlayan standart bir istismar modeline işaret ediyor. Bu akış hızı, çalınan sermayenin DeFi piyasalarına neredeyse anında geri dönmesine neden olarak kurtarma çabalarını zorlaştırıyor ve saldırganların kullanılabilir sermayesini artırıyor.
Yatırımcılar ve protokol operatörleri için çıkarılacak temel ders net: Zincirler arası köprüler, sistemik riskin yoğunlaştığı noktalar olmaya devam ediyor. Tarihsel kayıplar 3,2 milyar doları aşarken, sadece 2026’da 750 milyon dolardan fazla varlık çalındı. Verus’taki açık, Wormhole ve Nomad’da olduğu gibi, ekonomik teminat olmadan yalnızca kriptografik geçerliliğe dayanan doğrulama mantığının yetersizliğini bir kez daha ortaya koydu. Kısa vadede, köprülerdeki toplam kilitli değer (TVL) değişimleri, olağandışı çekim hareketleri ve eksik kanıt uzlaştırma kontrollerine sahip protokoller yakından izlenmeli.
Daha geniş ölçekte, köprü güvenliğindeki bu tür başarısızlıklar, çoklu zincir likidite sistemlerine olan güveni zedeliyor ve kullanıcıları daha temkinli stratejilere yönlendiriyor. Protokol operatörlerinin, mutabakat mantığının yalnızca kriptografik kanıtların geçerliliğini değil, gerçek varlık teminatını da açıkça doğruladığından emin olması gerekiyor. Sektör, zincirler arası işlemleri hızlandırmaya devam ederken, güvenlik standartları ekosistemler arasında uyumlu hale getirilmedikçe bu tür saldırılar kalıcı ve maliyetli bir risk olmaya devam edecek.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com
