Alephium TokenBridge exploit, zincirler arası sistemler için zor geçen bir yıla yeni bir güvenlik ihlali daha ekledi. Alephium, köprüsünün Ethereum ve BNB Chain üzerinde yaklaşık 815.000 dolar kaybettiğini söyledi. Saldırıda sahte mesajlar köprü arka ucundan geçti ve geçerli transferler gibi işlendi.
Blockaid saldırıyı ilk olarak 30 Mayıs’ta tespit etti. Ardından SEAL 911 acil müdahale ekibini bilgilendirdi. Tüm olayın yaklaşık yedi dakika sürdüğü bildirildi. Alephium daha sonra köprüyü kapattı ve yeni işlem başlatılamayacağını söyledi.
Alephium TokenBridge Exploit Wrapped ALPH Mintini Tetikledi
Saldırgan, köprü bağlantılı varlıklardan USDT, USDC, WETH, WBTC ve WBNB çekti. Ayrıca Ethereum üzerinde 13,76 milyon wrapped ALPH mint etti. Ancak Alephium zincirinde buna karşılık gelen ALPH kilitlenmedi.
Alephium TokenBridge exploit, Alephium blokzincirini Ethereum ile bağlayan bir sistemi etkiledi. Normal transferlerde ALPH bir zincirde kilitlenir. Daha sonra köprü koruyucularının onayından sonra başka bir zincirde wrapped sürüm mint edilir.
Bu olayda onay süreci başarısız oldu. Saldırgan, sahte olayları arka uçtan geçirdi. Koruyucular daha sonra sisteme geçerli görünen mesajları imzaladı. Ancak bu mesajların arkasındaki veri sahteydi.
Köprü Saldırıdan Sonra Çevrimdışı Bırakıldı
Alephium olaydan sonra köprüyü duraklattı. Ekip, kurtarma planı, teknik inceleme ve tazminat ayrıntıları hazırlanırken kapatmanın devam edeceğini söyledi.
Proje ayrıca Ethereum ve BNB Chain üzerindeki ALPH sahiplerine Uniswap ve PancakeSwap havuzlarından likiditeyi çekmelerini tavsiye etti. Bu uyarı önemliydi. Çünkü saldırgan hâlâ karşılıksız wrapped ALPH tutuyordu. Aktif piyasa likiditesi, bu tokenleri gerçek değere çevirmesine yardımcı olabilirdi.
Varlık Kayıpları Zincirler Arasında Bildirildi
Alephium’un hesaplamasına göre saldırgan Ethereum üzerinde 200.967 USDT, 17.594 USDC, 5,18 WETH ve 0,335 WBTC çekti. BNB Chain tarafında ise çalınan varlıklar 36.750 USDT ve 24,386 WBNB oldu.
Alephium TokenBridge exploit ayrıca Ethereum üzerinde 13,76 milyon wrapped ALPH oluşturdu. Bu tokenler kilitli ALPH ile desteklenmiyordu. Blockaid, bu miktarın olaydan önce mevcut olan wrapped ALPH arzını aştığını söyledi.
İlk Anahtar Ele Geçirme Teorisi Değişti
İlk raporlar, dört koruyucu özel anahtarından üçünün ele geçirilmiş olabileceğini öne sürdü. Daha sonraki güncellemeler bu görüşü değiştirdi.
Blockaid, olayın çalınmış koruyucu anahtarlarıyla ilgili görünmediğini söyledi. Alephium da akıllı sözleşme hatasını ve anahtar ele geçirme ihtimalini reddetti. Ekip bunun yerine köprü arka ucundaki zincir dışı bir güvenlik açığına işaret etti.
Bu bulgu asıl endişeyi değiştirdi. Sorun yalnızca kayıp bir imzalama anahtarı değildi. Sahte olayların onay sürecine ulaşmasına izin veren bir sistem açığıydı.
Asıl Hata Neydi?
Alephium TokenBridge exploit, on-chain sözleşmeler ile off-chain köprü operasyonları arasındaki katmanda başlamış görünüyor. Bu katman, onay için olayları koruyuculara iletir.
Koruyucular geçerli imzalar verdi. Ancak bu imzalar geçersiz verilere bağlandı. Bu nedenle köprü, sahte çekim ve mint mesajlarını gerçek faaliyet gibi kabul etti.
Bu tür bir hata tehlikelidir. Çünkü kötü talimatları meşru gösterir. İmzalı onaylar köprüye ulaştığında fonlar serbest bırakılabilir.
Dört Koruyuculu Model Soru İşaretleri Yarattı
Alephium’un köprü fork’u dört koruyucu kullanıyordu. Bir transfer için bunlardan üçünün onayı gerekiyordu. Bu yapı küçük bir karar yeter sayısı oluşturdu.
Küçük bir koruyucu grubu daha hızlı çalışabilir. Ancak hata payı daha düşüktür. Bir arka uç açığı yeterli sayıda koruyucuya sahte veri gönderirse sistem yine de onay verebilir.
Alephium TokenBridge exploit, köprü quorum tasarımı hakkındaki tartışmaları yeniden gündeme getirdi. Daha büyük koruyucu ağları bu riski azaltabilir. Ancak daha fazla karmaşıklık da ekler.
Benzer Köprü Saldırıları Baskıyı Artırdı
Olay, 2026’daki diğer köprü açıklarının ardından geldi. Verus-Ethereum köprüsü Mayıs ayında bir doğrulama hatası nedeniyle yaklaşık 11,5 milyon dolar kaybetti. Gravity Bridge de şüpheli imzalama sorunlarına bağlı ayrı bir olayda yaklaşık 5,4 milyon dolarlık bir kayıp yaşadı.
Bu vakalar ortak bir sorunu gösteriyor. Zincirler arası köprüler sık sık off-chain doğrulama, mesaj aktarma ve güvenilir imzalayıcılara dayanır. Bu sürecin bir parçası başarısız olursa, birden fazla zincirdeki varlıklar risk altına girebilir.
Kurtarma Planı Hâlâ Bekleniyor
Alephium, köprünün içinde tutulan ALPH’nin boşaltılmadığını ve kurtarılabilir durumda olduğunu söyledi. Ekip, incelemesini tamamladıktan sonra etkilenen kullanıcılar için sonraki adımları paylaşacağını belirtti.
O zamana kadar köprü çevrimdışı kalacak. Alephium TokenBridge exploit, güvenlik ekipleri tarafından yakından incelenmeye devam edecek. Çünkü saldırı basit bir akıllı sözleşme hatası değil, sahte arka uç olaylarıyla ilgiliydi.
Sonuç
Alephium TokenBridge exploit, özel anahtarlar güvende kalsa bile köprü sistemlerinin başarısız olabileceğini gösterdi. Saldırgan, sahte mesajlar kullanarak varlıkların kilidini açtı ve karşılıksız wrapped ALPH mint etti.
Kayıp, son dönemdeki bazı köprü saldırılarına göre daha küçüktü. Yine de kullanılan yöntem önemliydi. Olay, off-chain arka uç açıklarının koruyucu onaylarını nasıl zayıf noktaya dönüştürebileceğini ortaya koydu. Alephium kullanıcıları için bir sonraki önemli güncelleme, kurtarma süreci ve tam teknik inceleme olacak.
Ek: Temel Terimler Sözlüğü
Alephium TokenBridge: Alephium’u Ethereum ile bağlayan ve wrapped ALPH transferlerini destekleyen zincirler arası köprü.
Forged Messages: Koruyucular tarafından imzalandıktan sonra geçerli gibi görünen sahte köprü talimatları.
Wrapped ALPH: Gerçek ALPH kilitlendikten sonra başka bir blokzincirde mint edilen tokenleştirilmiş ALPH sürümü.
Bridge Guardians: Varlıklar serbest bırakılmadan veya mint edilmeden önce zincirler arası transfer mesajlarını onaylayan doğrulayıcılar.
Off-Chain Vulnerability: Akıllı sözleşme katmanının dışında bulunan ve köprü arka uç operasyonlarını etkileyen güvenlik açığı.
SEAL 911: Projelerin aktif saldırılara yanıt vermesine yardımcı olan kripto güvenliği acil müdahale grubu.
BNB Chain: Çalınan köprü bağlantılı varlıkların bir kısmının çekildiği blokzincir ağı.
Liquidity Pools: Saldırganların çalınmış veya karşılıksız tokenleri dönüştürmek için kullanabileceği merkeziyetsiz borsa işlem havuzları.
Alephium TokenBridge Exploit Hakkında Sık Sorulan Sorular
1. Alephium TokenBridge exploit neydi?
Sahte arka uç mesajlarının imzalanıp geçerli transferler gibi kabul edildiği bir köprü saldırısıydı.
2. Ne kadar kayıp yaşandı?
Alephium, Ethereum ve BNB Chain üzerinde yaklaşık 815.000 dolar kayıp bildirdi.
3. Koruyucu anahtarları çalındı mı?
Alephium ve Blockaid daha sonra saldırının çalınmış özel anahtarlarla ilgili görünmediğini söyledi.
4. Hangi varlıklar etkilendi?
Çekilen varlıklar arasında USDT, USDC, WETH, WBTC ve WBNB vardı. Saldırgan ayrıca karşılıksız wrapped ALPH mint etti.
