Verus Protocol Ethereum Köprüsü, 11.5 Milyon Dolardan Fazla Kayıpla Sonuçlanan Bir Açıkla Karşılaştı

Verus Protocol'ün Ethereum köprüsü, saldırganların sahte bir zincirler arası transfer mesajı kullanarak 11.5 milyon dolardan fazla kripto varlığı çalmasıyla sonuçlanan bir açıkla karşılaştı. Blockchain güvenlik firmaları Blockaid, PeckShield ve ExVul, açığı köprü doğrulama sürecindeki eksik doğrulama kontrollerine bağladı.

Blockaid'e göre, istismar Pazar geç saatlerde, izleme sistemlerinin Verus-Ethereum köprüsüyle bağlantılı şüpheli bir etkinliği işaretlemesi üzerine tespit edildi. Saldırgan cüzdanı "0x5aBb…D5777" olarak tanımlayan Blockaid, çalınan fonların başlangıçta "0x65C…C25F9" olarak etiketlenen başka bir adrese taşındığını belirtti. PeckShield tarafından paylaşılan veriler, çalınan varlıkların 103,6 tBTC, 1.625 ETH ve yaklaşık 147.000 USDC içerdiğini gösterdi. PeckShield daha sonra, saldırganın çalınan tokenları, mevcut fiyatlara göre yaklaşık 11.4 milyon dolar değerinde olan 5.402 ETH'ye çevirdiğini bildirdi.

İstismarın gerçekleşmesinden saatler önce PeckShield, saldırganın cüzdanının, işlem kökenlerini gizleme girişimlerini içeren saldırılarda sıkça görülen bir ayrıntı olan, kripto mikseri Tornado Cash aracılığıyla 1 ETH aldığını söyledi. GoPlus Security'den yapılan daha fazla analiz, saldırganın önce köprü sözleşmesine düşük değerli bir işlem gönderdiğini ve ardından, rezerv varlıkların boşaltma cüzdanına toplu olarak aktarılmasına neden olan bir işlevi çağırdığını gösterdi.

GoPlus, istismarın "büyük olasılıkla" zincirler arası mesaj doğrulama hatası, çekme mantığı atlatma veya köprü mekanizması içindeki bir erişim kontrol zayıflığıyla bağlantılı olduğunu söyledi. Blockaid daha sonra olayın, sahte transfer talimatlarının protokolleri rezerv fonlarını serbest bırakmaya ikna ettiği 2022 Nomad Bridge istismarı ve Wormhole istismarı saldırılarına benzediğini belirtti. Blockaid, istismarın "bir ECDSA atlatması", "bir noter anahtarı uzlaşması" ve "bir ayrıştırıcı/hash bağlama hatası" olmadığını, bunun yerine sorunu, yaklaşık 10 satır Solidity koduyla düzeltilebilecek bir kusur olarak tanımlayarak, "checkCCEValues'da eksik bir kaynak miktarı doğrulaması" olarak nitelendirdi.

Blockchain güvenlik sağlayıcısı ExVul da benzer bir sonuca ulaşarak, saldırganın köprünün doğrulama sürecini başarıyla geçen bir "sahte zincirler arası içe aktarma yükü" kullandığını söyledi. ExVul'e göre, istismar sonunda köprü rezervlerinden saldırgan kontrolündeki cüzdana üç ayrı transferi tetikledi. ExVul, zincirler arası kanıt sistemlerinin, fonlar serbest bırakılmadan önce transfer yürütmeyi kimliği doğrulanmış yük verilerine doğrudan bağlaması gerektiğini ekledi. Firma ayrıca, daha sıkı yük doğrulaması, katmanlı doğrulama korumaları ve alışılmadık giden transferler için acil durum duraklatma mekanizmaları önerdi.

2023'te başlatılan Verus-Ethereum köprüsü, kullanıcıların Verus ağı ve Ethereum arasında varlık taşımasına ve dönüştürmesine olanak tanıyor. Protokolün kendisi 2018'de tanıtıldı ve hibrit bir iş kanıtı ve hisse kanıtı konsensüs modeli kullanıyor. Yayınlandığı tarih itibarıyla, Verus ekibi istismarla ilgili kamuoyuna açık bir yorum yapmadı. Olay, zaten birden fazla büyük merkeziyetsiz finans (DeFi) ihlaliyle karşılaşılan bir yılda geldi. Ek raporlarda alıntılanan güvenlik izleme verilerine göre, kripto hacker'ları yalnızca 2026'nın ilk çeyreğinde 34 DeFi protokolünden 168,6 milyon dolardan fazla çaldı. Nisan, bu yıl kaydedilen en büyük saldırılardan ikisini oluşturdu; 280 milyon dolarlık Drift Protocol istismarı ve 292 milyon dolarlık Kelp istismarı. Hafta sonu, zincirler arası likidite protokolü THORChain de ayrı bir 10 milyon dolarlık istismara uğradığını doğruladı ve DeFi sektöründeki köprü ve birlikte çalışabilirlik altyapısıyla ilgili artan endişelere katkıda bulundu.

Sonuç olarak, Verus Protocol'ün Ethereum köprüsü, sahte bir transfer mesajı nedeniyle 11.5 milyon dolardan fazla kaybetti. Bu olay, DeFi sektöründeki köprüler ve güvenlik açıkları konusundaki endişeleri artırıyor. Bu tür olayların önüne geçilmesi için güvenlik önlemlerinin artırılması ve daha sıkı denetimler yapılması gerekiyor.