Blockchain güvenlik şirketi Peckshield’in bildirdiğine göre, zincirler arası protokol Gravity Bridge’den 30 Mayıs’ta yaklaşık 5,4 milyon dolarlık bir tutar çalındı; saldırganın ele geçirdiği paranın bir kısmını Binance ve Changenow üzerinden aktardığı belirtiliyor.
Hacker, Çalınan Parayı Binance Üzerinden Aktarırken Gravity Bridge'den 5,4 Milyon Dolar Çalındı
YAZAN
PAYLAŞ
Önemli Noktalar
Binance ve ChangeNow Üzerinden Aktarılan Fonlar
Ethereum ve Cosmos ekosistemleri arasında token transferi yapan bir protokol olan Gravity Bridge, blockchain güvenlik firması Peckshield tarafından tespit edilen yeni bir saldırıda yaklaşık 5,4 milyon dolarlık zarara uğradı. Çalınan varlıklar arasında yaklaşık 4,3 milyon dolarlık USD Coin (USDC), yaklaşık 553.000 dolar değerinde 274 ether (ETH), 434.000 dolarlık tether (USDT) ve 64.000 dolar değerinde 14.164 PAYG tokeni bulunuyordu.
Saldırgan, ele geçirdiği parayı aktarmak için fazla zaman kaybetmedi. Peckshield'in değerlendirmesine göre, çalınan varlıkların bir kısmı, saklama hizmeti sunmayan bir takas platformu olan Changenow ve işlem hacmi açısından dünyanın en büyük kripto para borsası olan Binance aracılığıyla zaten aklanmış durumda. Uyarı yayınlandığı sırada, saldırgan hala yaklaşık 4,23 milyon dolar değerinde 2.102 ETH'ye sahipti; bu da çalınan varlıkların büyük bir kısmının blok zincirinde kaldığını ve potansiyel olarak izlenebilir olduğunu gösteriyor.
Fonları Binance gibi merkezi bir borsa üzerinden aktarmak, çalınan coinleri meşru likiditeyle karıştırarak izleri silmeye yarayabilir, ancak platformun uyum ekibi hızlı hareket ederse fonların dondurulmasına da yol açabilir. ChangeNow gibi takas hizmetleri genellikle, varlıkların bir borsaya ulaşmadan önce izlenmesi daha zor tokenlere dönüştürülmesi için kullanılır.
Gravity Bridge Ne Yapar?
Gravity Bridge, Ethereum'u birbiriyle uyumlu zincirlerden oluşan Cosmos ağına bağlayan bir çapraz zincir köprüsüdür (kullanıcıların token'ları bir blok zincirinden diğerine aktarmasına olanak tanıyan yazılım). Cosmos SDK üzerine inşa edilmiş olan bu platform, kilitle ve bas modeliyle çalışır. Burada, bir token bir zincirde kilitlenir ve diğerinde eşdeğer bir temsil basılır, ardından kullanıcı geri köprü kurduğunda yakılır ve itfa edilir.
Gravity Bridge, küçük bir çoklu imza cüzdanına veya izinli bir operatör grubuna güvenmek yerine, zincirler arası işlemleri imzalamak için doğrulayıcı setini kullanır; bu tasarım, sistemi daha merkezi olmayan ve güvenliğinin daha zor ihlal edilebilir hale getirmeyi amaçlamaktadır. Bu mimari, köprüleri saldırılara karşı bağışık hale getirmedi çünkü tasarım gereği, kilitli varlıkların büyük havuzlarını barındırıyorlar ve bu da onları merkeziyetsiz finans (DeFi) alanındaki en kazançlı hedeflerden bazıları haline getiriyor. Doğrulama mantığındaki tek bir kusur, her şeyi bir anda açığa çıkarabilir.
Zincirler Arası Köprüler İçin Zorlu Bir Yıl
Bitcoin.com News'in yakın zamanda, köprü istismarlarının yalnızca 2026 Mayıs ortasına kadar sekiz ayrı olayda 328 milyon dolardan fazla parayı sızdırdığını bildirmesi göz önüne alındığında, Gravity Bridge olayı zincirler arası altyapı için zorlu bir dönemin ortasında gerçekleşmiştir.
Bu eğilim yıl boyunca hiç durmadı. 18 Mayıs'ta saldırganlar, Verus-Ethereum köprüsünden yaklaşık 11,5 milyon dolar çaldı; fail, hırsızlıktan önce Tornado Cash aracılığıyla fon sağlamıştı. Ardından Nisan ayında, şüpheli bir istismar Drift Protocol'den tahmini 200 milyon dolardan fazla para çalarken, ayrı bir ihlal KelpDAO'nun Layerzero adapt
öründen 116.500 rsETH'yi boşaltarak kredi piyasalarını potansiyel kötü borç riskine maruz bıraktı.Shibarium köprüsüne yapılan 2,4 milyon dolarlık flash kredi saldırısı da dahil olmak üzere, daha küçük çaplı saldırılar da birikmiştir. Tüm bunlarda, bu tekrarlama bir dizi talihsizlikten ziyade yapısal bir soruna işaret etmektedir. Köprüler, iki zincirin farklı güvenlik modellerini uzlaştırmak zorundadır ve para yatırma ve çekme işlemlerini doğrulayan kod, defalarca en zayıf halka olduğunu kanıtlamıştır (ister eksik doğrulama kontrolleri, ister ele geçirilmiş anahtarlar ya da yönetişim kusurları yoluyla olsun).
Gelecekteki Hamleleri Tahmin Etmek
Şu anki soru, çalınan 5,4 milyon doların ne kadarının geri kazanılabileceğidir. Saldırgan hala yaklaşık 4,23 milyon dolarlık ETH'ye sahip olduğundan, borsalar ve analiz şirketleri bu fonları işaretleyip dondurmak için bir fırsat penceresi yakaladı ve protokoller, iadeyi müzakere etmek için giderek daha fazla kamuoyu baskısı ve zincir içi mesajları kullanıyor. Örneğin, Verus hacker'ı, bir geri kazanım anlaşması kapsamında 2,8 milyon dolarlık ödülü elinde tutarken, nihayetinde 8,5 milyon doları iade etti.
Şu an için Gravity Bridge kullanıcıları, sorunun temel nedenini ve etkilenen mevduat sahiplerine geri ödeme planını detaylandıran resmi bir olay raporu bekliyor. Köprüler, sürekli ortaya çıkan doğrulama zayıflıklarını çözene kadar, çoklu zincir ekonomisinin en önemli bağlantı noktaları muhtemelen en sık soyulanlar olmaya devam edecek.
