Kripto para dünyasında köprü (bridge) protokollerine yönelik saldırılar gündemdeki yerini korumaya devam ediyor. Son olarak Hyperbridge protokolünün Ethereum ağındaki ağ geçidi sözleşmesinde tespit edilen bir güvenlik açığı, büyük ölçekli bir token basım olayına sahne oldu. Saldırgan, sistemdeki bir hatayı kullanarak 1 milyar adet sahte Polkadot (DOT) tokenı oluşturmayı başardı.
Saldırı, Hyperbridge'in EthereumHost sözleşmesinin gelen zincirler arası mesajları doğrulama sürecindeki bir zafiyetten kaynaklandı. Normal şartlarda, zincirler arası mesajların Polkadot ağındaki geçerli bir durum taahhüdüne göre doğrulanması gerekirken, saldırgan bu mekanizmayı devre dışı bırakan sahte bir mesaj gönderdi. Bu sayede köprü sözleşmesi üzerinde yönetici (admin) yetkisi elde eden saldırgan, sınırsız token basma hakkına sahip oldu.
Düşük Likidite Saldırganın Kazancını Sınırladı
Saldırganın 1 milyar adet token basarak piyasayı manipüle etme girişimi, hedeflenenin aksine oldukça düşük bir kazançla sonuçlandı. Ethereum üzerindeki DOT likidite havuzlarının derinliğinin yetersiz olması, saldırganın oluşturduğu devasa arzın piyasa tarafından emilmesini engelledi. Uniswap V4 üzerindeki havuzlarda işlem yapan saldırgan, elindeki tokenları satarken ciddi fiyat kaymalarıyla karşılaştı.
Güvenlik firması CertiK tarafından yapılan incelemelere göre, saldırganın bu işlem sonucunda elde ettiği net kazanç yaklaşık 237.000 dolar değerinde Ethereum (ETH) ile sınırlı kaldı. 1 milyar dolarlık nominal değere sahip token basılmasına rağmen, piyasadaki likidite yetersizliği saldırganın planlarını sekteye uğratan temel faktör oldu.
Köprü Güvenliği Neden Kritik?
Bu olay, blokzincir köprülerinin merkeziyetsiz finans (DeFi) ekosistemindeki en zayıf halkalardan biri olduğu gerçeğini bir kez daha gözler önüne serdi. Köprüler, farklı zincirler arasında varlık transferini mümkün kılarken, hedef zincirdeki token sözleşmeleri üzerinde üst düzey yönetici haklarına sahip olurlar. Bu durum, tek bir doğrulama hatasının tüm arzın kontrolünü ele geçirmeye olanak tanıması gibi kritik bir risk barındırıyor.
Saldırının Polkadot'un ana ağına veya yerel DOT tokenlarına herhangi bir etkisi bulunmuyor. Hyperbridge ekibi henüz saldırının teknik detaylarına veya gelecekte benzer saldırıları önlemek adına atılacak adımlara dair kapsamlı bir açıklama yapmadı. Uzmanlar ise daha derin likiditeye sahip havuzlarda benzer bir açığın çok daha büyük kayıplara yol açabileceği konusunda yatırımcıları ve protokol geliştiricilerini uyarmaya devam ediyor. Zincirler arası etkileşimin arttığı bu dönemde, akıllı sözleşme denetimlerinin ve çok katmanlı doğrulama mekanizmalarının önemi her geçen gün daha da artıyor.
