Haberler 
Coin Bilgisi 
Hakkımızda 
이çerikte adı geçen gelişmeler 22’sinde (yerel saatle), proje ekibinin resmi açıklamaları ve *BlockSec* gibi bağımsız güvenlik firmalarının ilk analizlerine göre şekillendi.
Ethereum(ETH) katman-2 ağı Taiko(TAIKO), ‘köprü’ altyapısındaki bir güvenlik açığı sonucu yaklaşık 1,7 milyon dolar (yaklaşık 26 milyar won) kayıp yaşadığını ve bunun üzerine ‘blok üretimini durdurma’ ve kullanıcıları varlıklarını köprüden çekmeye çağırma gibi acil önlemler aldığını duyurdu. Yıl başından bu yana tekrarlanan ‘cross-chain’ zafiyetlerinin yeniden gündeme gelmesi, köprü mimarisinin ‘yapısal risklerini’ bir kez daha öne çıkardı.
Taiko ekibi, 22’sinde (yerel saatle) yaptığı açıklamada saldırganın, köprü üzerindeki para çekme işlemlerini doğrulamak için kullanılan ‘kanıt(proof)’ verilerini sahte olarak ürettiğini, bu sayede gerçekte olmayan çekim taleplerine onay alarak fonları zimmetine geçirdiğini bildirdi. İlk hesaplamalara göre kayıp yaklaşık 1,7 milyon dolar seviyesinde. *yorum: Ekip, hızlı müdahale sayesinde saldırının yayılmasını engellediğini ve ek kaybı sınırladığını savunuyor.*
Bridging altyapısı, Taiko ile Ethereum arasında *varlık transferi* için kullanılan en kritik bileşenlerden biri. Saldırıda, para çekme talebinin gerçekten yatırılan varlıklarla uyumlu olduğunu ispatlayan ‘kanıt’ mekanizması hedef alındı. Saldırgan, Taiko zincirinde herhangi bir gerçek işlem gerçekleştirmeden, Ethereum tarafında talebin ‘geçerli bir çekim’ gibi görünmesini sağladı. Böylece Taiko’nun köprü kontratlarından ve token kasalarından yetkisiz çıkışlar gerçekleşti.
Taiko ekibi, saldırganın yaklaşık 2 milyon Taiko(TAIKO) tokenını ele geçirerek MEXC borsasındaki bir hesaba aktardığını da doğruladı. Bu transferin büyüklüğü yaklaşık 170 bin dolar (yaklaşık 2,6 milyar won) seviyesinde hesaplanıyor.
Güvenlik firması BlockSec, ilk teknik analizinde olayın büyük olasılıkla Taiko’nun ‘Raiko’ adlı kanıt üretim sistemine ait ‘imza anahtarının’ sızmasından kaynaklandığını öne sürdü. Normal şartlarda donanım güvenlik modülü gibi *güvenli ortamda* tutulması gereken bu anahtarın GitHub üzerinde ifşa edildiği; bu sayede saldırganın kendisini ‘meşru doğrulayıcı’ gibi sisteme kaydedip sahte kanıtlara imza atabildiği değerlendiriliyor.
Bu anahtar kullanılarak üretilen sahte kanıtlar, Taiko zincirindeki doğrulama sürecini başarıyla geçti ve sonuçta Ethereum tarafında gerçek varlıkların çözülüp saldırgan adreslerine aktarılmasıyla sonuçlandı. *yorum: Burada esas zafiyet, hem gizli anahtar yönetiminde hem de kanıt doğrulama mantığında ‘tek hata noktasına’ (single point of failure) bağımlılık olarak öne çıkıyor.*
Olayın ortaya çıkmasının hemen ardından Taiko ekibi, tüm kullanıcılara köprüler üzerinden varlıklarını çekmeleri yönünde çağrı yaptı ve merkezi borsalardan TAIKO yatırma işlemlerini durdurmalarını talep etti. Aynı zamanda blok üreticilere, ağ üzerinde yeni blok üretimini geçici olarak durdurmaları yönünde talimat gönderildi.
Ekip, ABD doğu saatiyle sabaha karşı 2 civarında saldırının ‘kontrol altına alındığını’, ana köprüler ve token kasalarındaki çıkışların tamamen durdurulduğunu bildirdi. Bu süreçte, zincir üzerindeki yeni işlemler ve potansiyel ek istismar girişimleri yakından izlenmeye devam ediyor.
Saldırının parasal büyüklüğü görece sınırlı görünse de, ‘cross-chain mesaj sahteciliği’ kategorisindeki benzer açıkların tekrarlanması, sektör geneli için kaygı verici olarak yorumlanıyor. Bu yılın 4’ünde Kelp DAO(Kelp DAO) yaklaşık 292 milyon dolar, 5’inde ise Verus-Ethereum köprüsü yaklaşık 11,4 milyon dolar kayıp yaşamıştı; her iki olayda da benzer şekilde mesaj doğrulama ve kanıt mekanizmalarının manipüle edildiği rapor edilmişti.
2026’nın başlangıcından bu yana köprülere yönelik saldırı sayısı en az 14’e çıkmış durumda ve toplam zarar 340 milyon doların (yaklaşık 522,7 milyar won) üzerine çıktı. Taiko’nun hızlı aksiyonla zararı dar bir aralıkta tutmayı başardığı ifade edilse de, ‘çok zincirli’ ekosistemde köprülerin sistemik riskleri çözülmesi gereken temel başlık olarak masada kalmaya devam ediyor. *yorum: Uzmanlar, köprü tasarımlarında daha fazla ‘müşterek imza’, ‘zero-knowledge proof’ ve bağımsız doğrulama katmanlarının zorunlu hale getirilmesi gerektiğini vurguluyor.*
Taiko, 2024 Mayıs’ında Ethereum tabanlı bir katman-2 çözümü olarak faaliyete başlamıştı. Ekip, olayla ilgili ayrıntılı teknik analiz raporunu Asya saat dilimine göre ilerleyen saatlerde kamuoyuyla paylaşmayı planladığını açıkladı. Bu raporda hem saldırı vektörünün tüm ayrıntılarıyla açıklanması hem de gelecekte benzer bir ‘kanıt(proof)’ sahteciliğini önlemek için alınacak mimari ve operasyonel önlemlerin yer alması bekleniyor.
Yorum 0