Kripto sektöründe bir köprü protokolü daha büyük bir saldırıyla karşı karşıya kaldı.
18 Mayıs’ta, blok zinciri güvenlik şirketi Blockaid, Verus-Ethereum Köprüsü üzerinde gerçekleşen aktif bir saldırıyı tespit etti. Saldırı sonucunda protokolden dakikalar içinde yaklaşık 11,58 milyon dolar çekildi.
Verus, uzun süredir köprüsünü “güvene dayalı olmayan” ve diğer zincirler arası sistemlerde görülen akıllı sözleşme risklerine karşı dayanıklı olarak tanıtmıştı. Ancak bu olay, klasik bir akıllı sözleşme açığından ziyade, köprünün bir tarafındaki varlıkların diğer tarafta gerçekten teminatlandırılıp teminatlandırılmadığını doğrulayamamasından kaynaklanan farklı bir sorunu ortaya çıkardı.
Saldırı Nasıl Gerçekleşti?
Saldırı, 18 Mayıs 2026’nın erken saatlerinde başladı. Blockaid, 00:54 GMT civarında Verus-Ethereum Köprüsü sözleşmesinde şüpheli bir hareketlilik tespit etti.
Saldırgan, 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777 adresli cüzdanı kullanarak saldırıyı başlattı ve çalınan fonları başka bir cüzdana aktardı. PeckShield ve zincir üstü verilere göre, saldırgan saldırıdan yaklaşık 14 saat önce Tornado Cash üzerinden cüzdanına 1 ETH gönderdi.
Dikkat çeken bir diğer unsur ise, Verus’un saldırıdan sadece iki gün önce farklı bir güvenlik açığını kapatmak için “acil ve zorunlu” bir güncelleme yayınlamış olmasıydı. Bu zamanlama, birçok gözlemcinin saldırının rastgele değil, hedefli bir operasyon olduğuna inanmasına yol açtı.
Pek çok DeFi saldırısının aksine, bu olayda yeniden giriş (reentrancy) açığı veya özel anahtar sızıntısı söz konusu değildi. Sorun, köprünün Verus ve Ethereum tarafları arasındaki doğrulama eksikliğinden kaynaklandı.
Köprü, imzaları, durum köklerini ve Merkle kanıtlarını başarıyla doğruladı. Ancak Ethereum tarafında talep edilen varlıkların, Verus tarafında yeterli teminatla desteklenip desteklenmediğini kontrol edemedi.
Basitçe ifade etmek gerekirse, saldırgan kriptografik olarak geçerli görünen ancak neredeyse hiçbir gerçek teminatı olmayan bir işlem oluşturdu. Bu sayede köprüden şu varlıkların çıkışı sağlandı:
1.625 ETH,
103,6 tBTC,
147.000 USDC.
Saldırgan, çalınan varlıkları daha sonra Uniswap’ta takas ederek yaklaşık 5.402 ETH elde etti. Bu miktarın o anki değeri 11,4 milyon ila 11,58 milyon dolar arasında değişiyordu.
Güvenlik araştırmacıları, sorunun küçük bir ek doğrulama koduyla giderilebileceğini belirtiyor.
Çalınan Fonlar Hareketsiz
Haberin yazıldığı sırada, çalınan fonlar hâlâ saldırganın cüzdanında tutuluyor ve önemli bir hareketlilik rapor edilmedi. Güvenlik açığının tamamen kapatılmamış olabileceği endişesiyle, bazı araştırmacılar saldırının hâlâ “canlı” olduğunu düşünüyor.
Verus henüz kapsamlı bir teknik inceleme yayımlamadı. Ancak toplulukta tazminat ve sigorta kapsamı üzerine tartışmalar başladı.
Bu olay, “güvene dayalı olmayan” sistemlerin otomatik olarak risksiz olmadığına dair bir hatırlatma niteliği taşıyor. Birçok köprü, kriptografik doğrulamaya odaklanırken, zincirler arası varlıkların ekonomik olarak doğru şekilde teminatlandırılmasını sağlayacak mantığı göz ardı edebiliyor.
2026’da Köprü Saldırıları Artıyor
Verus saldırısı, DeFi güvenliği açısından zorlu geçen 2026’da yaşanan son büyük olay oldu. Sadece Nisan 2026’da, yaklaşık 30 ayrı saldırıda toplamda 625 milyon doların üzerinde kayıp yaşanarak kripto tarihinde en fazla saldırının gerçekleştiği ay oldu.
En büyük iki olaydan biri Drift Protocol’de yaşandı. Platform, Kuzey Kore bağlantılı Lazarus Grubu’nun sosyal mühendislik saldırısıyla yaklaşık 285 milyon dolar kaybetti. Kelp DAO ise zincirler arası mesaj sahteciliğiyle gerçekleştirilen bir köprü doğrulama açığı sonucu yaklaşık 292 milyon dolar kaybetti.
Köprüler ve merkeziyetsiz finans protokollerini hedef alan daha küçük çaplı saldırılar da sektördeki kayıpları artırdı. 2026’da toplam DeFi kayıpları şimdiden 750 milyon doları aşarken, köprüler bu zararın önemli bir kısmını oluşturuyor.
Saldırıların odağı giderek klasik akıllı sözleşme açıklarından altyapı zafiyetlerine, mesajlaşma sistemlerine ve zincirler arası doğrulama eksikliklerine kayıyor. Bu durum, köprü güvenliğini kripto ekosisteminin en büyük ve devam eden sorunlarından biri haline getiriyor.
Kendini yüksek güvenlikli veya “hacklenemez” olarak tanıtan projeler dahi, sistemin arkasındaki ekonomik mantık zayıfsa güçlü kriptografinin tek başına yeterli olmadığını deneyimleyerek öğreniyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: ccn.com
