Verus-Ethereum Köprüsü 11.5 Milyon Dolar Kaybetti, Saldırgan Tüm Fonları ETH’ye Dönüştürdü

Bir başka çapraz zincir köprüsü boşaltıldı. Verus-Ethereum Köprüsü yaklaşık 11.58 milyon dolar kaybetti. 17-18 Mayıs 2026 tarihlerinde, Blockaid’in gerçek zamanlı tespit sistemi tarafından ilk olarak tespit edilen ve PeckShield tarafından doğrulanan bir istismar sonucunda gerçekleşti. Saldırgan köprünün rezervlerinden 103.6 tBTC, 1,625 ETH ve 147,000 USDC’yi boşalttı. Çalınan tüm fonlar hemen 5,402.4 ETH’ye dönüştürüldü. Bu miktar yaklaşık 11.4 milyon dolara denk geliyor ve tek bir cüzdan adresinde toplandı. Saldırganın ilk finansmanı, boşaltmadan yaklaşık 14 saat önce Tornado Cash’ten geldi. 2026 yılına ait kripto hack haberleri, aynı güvenlik açığı sınıfına geri dönüyor. Ve Verus-Ethereum Köprüsü istismarı, bunun en net örneği.

10 Doların 11.5 Milyon Dolar Olması

Teknik kök neden, bu saldırıyı özellikle endişe verici kılıyor. Blockaid’in analizi, bunun bir anahtar ihlali olmadığını doğruladı. Bir imza atlatma değil. Bir hash çakışması değil. Köprü, tasarlandığı her şeyi doğruladı. Verus durum köklerini, Merkle kanıtlarını ve hash taahhütlerini notere etti. Ancak, kaynak zincir işleminin gerçekten ödemeleri gerçek değerle destekleyip desteklemediğini hiç kontrol etmedi.

🔎 Verus-Ethereum Köprüsü 11.58 Milyon Dolar boşaltma – Şüpheli kök neden

Wormhole-2022 / Nomad-2022 ile aynı sınıf: kaynak ↔ varış ekonomik değer bağlama açığı.

Köprünün doğru bir şekilde doğruladığı:
✓ Noter onaylı Verus durum kökü (15 geçerli noter imzasından 8’i, tümü kriptografik olarak sağlam)
✓…

— Blockaid (@blockaid_) 18 Mayıs 2026

Saldırgan, yaklaşık 10 dolar değerinde VRSC ücretleri harcayan bir işlem oluşturdu. O işlem, boş kaynak tarafı toplamlarıyla bir ödeme blob’una taahhüt etti. Verus-Ethereum Köprüsü tarafında kilitlenmiş gerçek değer sıfırdı. Verus protokolü, işlemi meşru olarak kabul etti. On beş noter imzasından sekizi, sonuçta oluşan durum kökünü kriptografik olarak imzaladı. Saldırgan, ardından bu imzalı kanıtı Ethereum köprü sözleşmesine submitImports() aracılığıyla sundu.

Köprü, kanıtı doğruladı. Blob’u çözdü ve rezervlerinden 11.58 milyon dolar ödedi. Blockaid, düzeltmeyi çarpıcı bir basitlikle tanımladı. checkCCEValues fonksiyonunda yaklaşık on satır Solidity. Bu, kaynak zincir ihracat toplamlarının talep edilen ödemeleri gerçekten desteklediğini doğrulayarak tüm saldırıyı önleyebilirdi.

Tanıdık Bir Desen

2022 köprü dönemine ait Ethereum haberleri kendini tekrar ediyor. Blockaid, bu istismarı Wormhole ve Nomad köprü hackleriyle doğrudan karşılaştırdı. Her ikisi de kriptografik hatalardan ziyade kaynak-varış ekonomik değer bağlama açıklarını istismar etti. Verus-Ethereum Köprüsü istismarı aynı mimariyi takip ediyor: geçerli kanıtlar, geçersiz ekonomi, felaket ödemeleri. Saldırgan EOA adresi 0x5aBb…D5777, istismar işlemini başlattı. Boşaltıcı cüzdan 0x65Cb…C25F9, şu anda konsolide edilmiş ETH gelirlerini tutuyor. Her iki adres de Etherscan’da kamuya açık olarak izlenebilir.

Bu, Yatırımcılar ve Geliştiriciler İçin Ne Anlama Geliyor

Kripto hack haberlerini takip edenler ve köprü kullanıcıları için, Verus-Ethereum Köprüsü istismarı kritik bir dersi pekiştiriyor. Kriptografik geçerlilik ve ekonomik geçerlilik aynı şey değildir. Bir köprü her imzayı doğru bir şekilde doğrulayabilir ve yine de hiç yatırılmamış fonları ödeyebilir. Çapraz zincir altyapısı inşa eden Ethereum geliştiricileri için, Blockaid’in kök neden analizi zorunlu okuma olmalıdır. 

Her köprü uygulaması, kaynak zincirinde kilitlenmiş değerin, kanıt doğrulamasından bağımsız olarak, varış zincirindeki ödeme miktarlarıyla eşleştiğini açıkça doğrulamalıdır. Bunun nedeni, kanıt doğruluğunun mesajın otantik olduğunu garanti etmesidir, ancak ekonominin sağlam olduğunu garanti etmez. Diğer bir deyişle, geçerli bir kanıt, otomatik olarak geçerli bir işlem anlamına gelmez. Sonuç olarak, bu özel güvenlik açığı, Verus-Ethereum Köprüsü’ne 11.5 milyon dolara mal oldu.