Hyperbridge Açığı, 1 Milyar Polkadot Üretimi 237.000 Dolar Getirdi

Kripto para ekosistemlerinin en kritik ancak aynı zamanda en savunmasız bileşenlerinden biri olan çok zincirli köprüler, geçtiğimiz Pazar günü yine büyük bir güvenlik ihlaliyle gündeme geldi. Hyperbridge adlı platform, çapraz zincir geçidindeki bir güvenlik açığı nedeniyle hedef alındı. Saldırgan, Ethereum ağı üzerinde 1 milyar adet Polkadot (DOT) tokeni basmayı başardı. Ancak bu devasa mintleme işlemi, beklenenin aksine, saldırgana yalnızca yaklaşık 237.000 dolar değerinde Ethereum (ETH) kazandırdı. Bu olay, köprülerin güvenlik zaafiyetlerini ve piyasa likiditesinin beklenmedik rollerini bir kez daha gözler önüne serdi.

Çok Zincirli Köprüler: Zayıf Halka mı?

Kripto dünyasında farklı blok zincirleri arasında varlık transferini sağlayan köprüler, sektör için hayati öneme sahip. Ancak bu yapıları, adeta iki dünya arasında geçişi sağlayan hassas geçitler olarak da düşünebiliriz. Bu köprüler, genellikle hedef zincirlerdeki token kontratları üzerinde yönetici düzeyinde kontrol yetkisine sahip olduğundan, tek bir doğrulama hatası bile saldırganlara sınırsız token üretme veya varlıkları boşaltma fırsatı verebiliyor. Nitekim 2023 yılında da benzer köprü zaafiyetleri yaşanmış, geçtiğimiz ay Solana ağında gerçekleşen Drift Protocol saldırısı gibi büyük olaylar kaydedilmişti.

Hyperbridge Saldırısının Perde Arkası

Pazar günü yaşanan olayda, saldırgan doğrudan Polkadot'un ana ağına değil, Hyperbridge'in EthereumHost sözleşmesindeki bir zayıflığı hedef aldı. Bu sözleşme, çapraz zincir mesajlarını TokenGateway'e iletmeden önce doğrulamakla yükümlüydü. Zincir üstü verilere göre, saldırgan dispatchIncoming yoluyla sahte bir mesaj gönderdi. Bu mesaj, normalde Polkadot'tan gelen geçerli bir çapraz zincir durum taahhüdüne göre doğrulanması gereken request receipts check mekanizmasında kritik bir hatayı tetikledi. Sistem, tümü sıfır olan bir taahhüt değeri saklamış, bu da doğrulamanın ya hiç yapılmadığını ya da bu belirli çağrı yolu için atlanabilir olduğunu gösteriyordu. Böylece geçit, sahte mesajı meşru kabul etti.

1 Milyar Polkadot Tokeni ve Şaşırtıcı Sonuç

Kabul edilen sahte mesaj, köprülenmiş Polkadot token sözleşmesinde changeAdmin fonksiyonunu çalıştırdı ve yönetici haklarını saldırganın adresine devretti. Yönetim kontrolünü ele geçiren saldırgan, tek bir işlemle tam 1 milyar adet DOT tokeni mint etti (bastı). Ardından bu tokenleri Odos Router V3 üzerinden Uniswap V4 DOT-ETH havuzuna yönlendirerek, çeşitli fiyatlardan yaptığı takaslarla yaklaşık 108.2 ETH elde etti. Bu miktar, olay anındaki değerle yaklaşık 237.000 dolara denk geliyordu. Normal şartlarda 1 milyar token, 1.19 milyar dolarlık bir değeri temsil ederken, saldırganın bu denli düşük bir kar elde etmesinin ana nedeni, Ethereum üzerindeki köprülenmiş DOT havuzundaki sınırlı likidite derinliği oldu. Piyasada bu denli büyük bir satış emrini karşılayacak yeterli alıcı olmaması, her bir token başına düşen değeri dramatik bir şekilde düşürdü. Daha yüksek likiditeye sahip bir havuzda veya daha değerli bir köprülenmiş varlık söz konusu olsaydı, aynı güvenlik açığı çok daha büyük kayıplara yol açabilirdi.

Polkadot'un Kendisi Güvende mi?

Bu saldırının Polkadot ekosistemi için önemli bir notu var: Olay, Polkadot'un ana ağını veya yerel DOT tokenini etkilemedi. Vulnerabilite, Hyperbridge'in Ethereum üzerindeki çapraz zincir geçidi sözleşmesiyle sınırlıydı. Yani, Polkadot ekosisteminin temel mimarisi ve güvenlik katmanları bu saldırıdan etkilenmedi.

CertiK Onayladı, Hyperbridge Sessizliğini Koruyor

Siber güvenlik firması CertiK, söz konusu güvenlik ihlalini hızla tespit ederek, saldırının vektörünün Hyperbridge ağ geçidi sözleşmesi olduğunu ve saldırganın köprülenmiş tokenleri mint edip satarak yaklaşık 237.000 dolar kar elde ettiğini doğruladı. Ancak olayın üzerinden zaman geçmesine rağmen, Hyperbridge platformundan henüz kamuoyuna herhangi bir resmi açıklama gelmedi. Ayrıca, aynı ağ geçidini kullanan diğer köprülenmiş token sözleşmelerinin de benzer sahte mesaj saldırılarına karşı savunmasız olup olmadığına dair bir bilgi paylaşılmadı.

Editör Yorumu:

Hyperbridge olayında gözlemlenen güvenlik ihlali, çapraz zincir köprülerinin ne denli kritik ve bir o kadar da karmaşık güvenlik riskleri barındırdığını bir kez daha acı bir şekilde gösterdi. Saldırganın 1 milyar adet token basma yeteneğini elde etmesi, köprü sözleşmelerindeki doğrulama mekanizmalarının ne kadar hayati olduğunu ortaya koyuyor. Özellikle 'admin' yetkisinin kötüye kullanılması, merkeziyetçi kontrol noktalarının zafiyetini vurguluyor. Ancak saldırganın bu denli büyük bir token miktarından yalnızca görece küçük bir kar elde etmesi, piyasa likiditesinin bir güvenlik katmanı gibi işleyebileceğini gösteriyor; zira derin olmayan havuzlar, manipülasyon için kısıtlayıcı bir faktör olabiliyor.

Bu durum, hem protokol geliştiricileri için köprü güvenliğini daha da artırma ve kod denetimlerini sıkılaştırma zorunluluğunu, hem de kullanıcılar için çapraz zincir işlemlerinde daha dikkatli olma ihtiyacını pekiştiriyor. Polkadot'un ana ağının etkilenmemiş olması olumlu bir detay olsa da, üçüncü taraf köprülerin güvenliği tüm ekosistem için risk teşkil etmeye devam ediyor. Köprülerin "taşınan değerin güvenlik katmanı" ilkesine uygun olarak tasarlanması ve işletilmesi, gelecekteki benzer olayları önlemek adına kritik önem taşıyor.

Hyperbridge'in sessizliği ise endişe verici. Şeffaf iletişim, bir güvenlik ihlali sonrası topluluğun güvenini yeniden kazanmak için temel bir adımdır. Diğer köprülenmiş varlıkların da aynı güvenlik açığına maruz kalıp kalmadığı konusundaki belirsizlik, yatırımcılar ve ekosistem paydaşları için önemli bir risk faktörü olarak değerlendirilebilir. Bu gelişme kısa vadede çapraz zincir köprülerinin genel güvenliğine dair algıyı güçlendirebilir ve daha sıkı denetim taleplerini artırabilir.

Editör Notu: Bu haber Bivizyoner editörleri tarafından bağımsız olarak hazırlanmış ve analiz edilmiştir.