Alephium'un Wormhole köprüsünün özel versiyonu, geçen Cuma günü saldırganın sahte guardian mesajlarını köprü altyapısına enjekte etmesi sonucu 815.000 dolarlık zarar yaşadı. Saldırgan özel anahtarları hiç çalmadan, güvenlik kontrollerini atlatmayı başardı. Ekipye göre saldırı, Ethereum ve BNB Chain üzerindeki likiditeyi etkiledi.
Buradaki mekanizma kritik önem taşıyor. Wormhole köprüleri, zincirler arası transferlere onay veren dağıtılmış "guardian" yani koruyucu setine dayanır. Ancak bu saldırıda, saldırgan guardian’ları ele geçirmedi veya imzalama anahtarlarını çalmadı. Bunun yerine, sanki gerçek guardianlardan geliyormuş gibi sahte mesajları köprünün altyapısına doğrudan gönderdi ve sistem bunları kabul etti. Bu durum, arkada gerçekleşen doğrulama sürecinin başarısız olması sebebiyle sahte bir çekin veznedar tarafından fark edilmeden geçirilmesine benziyor.
Bu olay, 2022’de Wormhole protokolünde yaşanan ve 325 milyon dolar kayba yol açan saldırıdan belirgin şekilde farklı. O saldırı, imza doğrulama kodundaki bir açığı kullandı. Bu sefer kod istismarı yok, mesaj sahteciliği var; bu da yetersiz mesaj doğrulaması, altyapıya yetkisiz erişim ya da her ikisinin bir arada olabileceğine işaret ediyor.
Alephium, Wormhole’un özel bir fork’unu kullandığı için ekibi kendi Layer 1 blockchain’leri için köprüyü özelleştirmiş oldu. Bu özelleştirme güvenlik açığını tetiklemiş olabilir ya da ekibin sorunu kamuya açık versiyonlardan daha hızlı tespit edip çözmesine neden olmuş olabilir. Ekip kaybı doğruladı, nedenini araştırdıklarını ve önlemler aldıklarını açıkladı.
Köprü saldırıları zincirler arası likidite için sürekli bir vergi gibi oldu. Nomad Ağustos 2022’de 190 milyon dolar, Poly Network ise 2021’de 611 milyon dolar kaybetti. Her saldırı o köprüye olan kullanıcı güvenini zedeliyor, ancak genel olarak köprü altyapılarının benimsenmesini genellikle etkilemiyor – çünkü yatırımcılar daha güvenilir alternatiflere yöneliyor.
Özellikle Alephium için bu durum, işlem yapanların karşı taraf riskini yeniden değerlendirmesi sonucu likiditenin geçici olarak çekilmesine yol açabilir. 815 bin dolarlık zarar, kapsamlı bir güvenlik denetimi ve şeffaf bir iyileştirme takvimi gerektiriyor. Ekipten gelebilecek inceleme sonuçları ve köprü durdurma ya da doğrulama mekanizmalarının güçlendirilmesine dair duyurular takip edilmeli. Bu önlemler gerçekleşene dek Alephium–Ethereum ve Alephium–BNB arası likidite baskı altında kalmaya devam edecek.
Alephium Köprüsü 815 Bin Dolar Kaybını Anahtar Hırsızlığıyla Değil, Sahte Mesajlarla Yaşadı
Alephium, anahtar çalınması değil, sahte köprü mesajları yoluyla gerçekleşen bir açık nedeniyle Ethereum ve BNB Chain’de 815 bin dolar kaybetti.