Hacker, Verus-Ethereum köprüsünden 11 milyon dolardan fazla çaldı. Saldırının büyüklüğüne rağmen Verus’un yerel token’ı, saldırı haberinin ardından hemen bir tepki göstermedi.
Kripto para piyasasında köprü protokollerine yönelik saldırılar hız kesmeden devam ediyor. Son olarak Verus ile Ethereum ağı arasındaki çapraz zincir köprüsü hedef alındı ve saldırganların toplamda 11,58 milyon dolar değerinde kripto varlığı ele geçirdiği ortaya çıktı.
Blockchain güvenlik şirketleri CertiK ve PeckShield tarafından paylaşılan verilere göre saldırı, Verus-Ethereum bridge kontratlarından birinde gerçekleşti. İlk tespitlere göre hackerlar; 1.625 ETH, 103,56 tBTC ve 147 bin USDC’yi sistemden çekti. Daha sonra bu varlıkların tamamı yaklaşık 5.402 ETH’ye dönüştürülerek farklı bir cüzdana aktarıldı.
Sistem doğrulaması yetersiz kaldı
Saldırının teknik detayları güvenlik şirketi Blockaid tarafından yayımlandı. Analize göre köprü sistemi işlem doğrulamalarını büyük ölçüde doğru şekilde gerçekleştiriyordu. Notary imzaları, Merkle proof doğrulaması ve transfer hash kontrolleri sorunsuz çalışıyordu. Ancak kritik bir eksiklik dikkat çekti:
Sistem, kaynak zincirde belirtilen transfer miktarlarının gerçekten gönderilen tutarla eşleşip eşleşmediğini kontrol etmiyordu. Saldırgan bu açığı kullanarak Verus tarafında yalnızca yaklaşık 0,02 VRSC değerinde sahte bir işlem oluşturdu. Teknik olarak geçerli görünen bu işlem, doğrulayıcılar tarafından normal şekilde onaylandı. Ardından saldırgan Ethereum tarafındaki submitImports() fonksiyonunu çağırarak sahte transfer verisini köprüye iletti. Hash doğrulaması başarılı olduğu için sistem işlemi geçerli kabul etti ve rezervlerden milyonlarca dolarlık ödeme yaptı.
Blockaid’e göre olayda özel anahtarların ele geçirilmesi, ECDSA güvenlik ihlali ya da hash mekanizmasının kırılması gibi ileri düzey bir saldırı yöntemi kullanılmadı. Sorunun temelinde yalnızca checkCCEValues isimli fonksiyonda eksik bırakılan kaynak tutar doğrulaması yer aldı.
Köprü protokolleri saldırıların odağında
Bridge protokolleri son yıllarda kripto sektöründeki en büyük güvenlik risklerinden biri hâline geldi. PeckShield verilerine göre Verus saldırısı, 2026 yılında köprü sistemlerini hedef alan sekizinci büyük olay oldu. Bu yıl bridge saldırılarında çalınan toplam miktarın ise 328 milyon doları geçtiği belirtiliyor.
Öte yandan CertiK’in yayımladığı son rapora göre kripto ekosistemi yalnızca geçtiğimiz ay 650 milyon doların üzerinde kayıp yaşadı. Özellikle KelpDAO ve Drift Protocol saldırıları sektörün en büyük olayları arasında gösteriliyor.
Saldırının büyüklüğüne rağmen Verus’un yerel token’ı VRSC’nin fiyatında dikkat çekici bir çöküş yaşanmadı. CoinGecko verilerine göre token, hack haberinin ardından yatay seyrini büyük ölçüde korudu. VRSC yazım esnasında yaklaşık 0,75 dolar seviyesinden işlem görürken, son 30 günde yüzde 6, son bir yılda ise yaklaşık yüzde 73 oranında değer kaybetmiş durumda.
