Son dönemde merkeziyetsiz finans (DeFi) sektörü güvenlikle ilgili yeni bir saldırıyla karşı karşıya kaldı. Verus projesinin Ethereum ağıyla bağlantı sağlayan köprüsü, sahte zincirler arası transfer açığından faydalanan bir exploit ile hedef alındı. Saldırı sonrası çalınan paraların büyük kısmı, proje ekibi ile saldırgan arasında yapılan anlaşma sonucu geri verildi.
Fonların büyük kısmı iade edildi
Blockchain güvenlik firması PeckShield tarafından doğrulanan bilgiye göre, saldırgan 4.052 ETH’yi Verus ekibinin cüzdanına aktardı. Bu miktarın güncel piyasa değeri yaklaşık 8,5 milyon dolar olarak hesaplandı. Anlaşmanın bir parçası olarak, saldırgan 1.350 ETH yani yaklaşık 2,8 milyon doları ise elinde tuttu.
Saldırıya uğrayan Verus geliştiricileri, kısa süre sonra kamuoyuna açık şekilde bir uzlaşma önerisinde bulundu. Yapılan teklifte, 4.052,4 ETH geri verildiği takdirde kalan varlıkların yasal bir beyaz şapka ödülü olarak kabul edileceği belirtildi. Saldırgan bu öneriyi kabul ederek çalınan fonların yaklaşık %75’inin ekibe iadesini sağladı.
Verus köprüsünde bulunan güvenlik açığı
Bu saldırının temelinde, Verus-Ethereum köprüsünde tespit edilen sahte zincirler arası transfer açığı yer aldı. Söz konusu açık, saldırganın köprü ağını kandırarak izinsiz para aktarımı yapmasına imkan tanıdı. Blokzincir ekosistemlerinde farklı ağlar arasında varlık geçişini sağlayan bu tür köprüler, yüksek likidite barındırdığı için saldırganların öncelikli hedefleri arasında yer alıyor.
Mini sözlük: Zincirler arası köprü (cross-chain bridge), farklı blokzincir ağları arasında kripto varlıkların transferini sağlayan akıllı sözleşme temelli altyapıdır. Bu yapılar, çoğunlukla iki bağımsız blokzincir arasında varlıkların hareketini kolaylaştırmak için kullanılır ancak güvenlik açıkları ciddi riskler yaratabilmektedir.
Sektörde DeFi güvenliği ve son saldırılar
Verus olayının yaşandığı dönemde, genel olarak merkeziyetsiz finans projelerinde güvenlik ihlalleri devam ediyor. DefiLlama verilerine göre, sadece Nisan ayında DeFi projelerinden toplam 634 milyon dolar değerinde varlık çalındı. Bunların arasında öne çıkan olaylardan biri, Drift Protocol’de gerçekleşen 280 milyon dolarlık saldırı; diğeri ise Kelp protokolünde yaşanan 293 milyon dolarlık kayıptı.
| Olay | Tarih | Kaybedilen Miktar |
|---|---|---|
| Drift Protocol saldırısı | Nisan 2024 | 280 milyon $ |
| Kelp protokol saldırısı | Nisan 2024 | 293 milyon $ |
| Verus köprüsü saldırısı | Mayıs 2024 | 11,3 milyon $ (1.350 ETH bount olarak bırakıldı) |
Mayıs ayında yaşanan kayıpların miktarı yaklaşık 38 milyon dolara düşmüş olsa da, zincirler arası köprülerdeki ve akıllı sözleşmelerdeki açıklar, merkeziyetsiz projelere duyulan güveni zedeliyor.
Ana tehdit: Genişleyen DeFi ekosisteminde süregelen güvenlik riskleri
Blokzincir teknolojisinin geniş çapta benimsenmesi, projelerin güvenlik tarafındaki yükümlülüklerini her geçen gün artırıyor. DeFi protokollerinde ve zincirler arası altyapıda yüksek hacimli fonların hareket etmesiyle beraber, saldırıların etkisi daha da artıyor.
Verus ekibi, “Saldırganın çoğu fonu iade etmesinin, topluluk güvenini yeniden inşa etme konusunda önemli bir adım olduğunu” vurguladı. Ayrıca köprü altyapılarında güvenlik kontrollerinin artırılmasına yönelik yeni adımlar atacaklarını belirtti.
Uzmanlar, projelerin akıllı sözleşme güvenliğine, düzenli kod denetimlerine ve zincirler arası köprü korumalarına daha fazla yatırım yapmasının gerekliliğine dikkat çekiyor.
