이더ium(EHT) ağının temel iletişim katmanında ortaya çıkan kritik bir güvenlik açığı, düğüm operatörlerine ‘acil güncelleme’ uyarısı getirdi. Tek bir özel mesajla düğümlerin çökertilmesine yol açabilen bu ‘yüksek riskli’ hata, piyasa altyapısının genel istikrarı için ciddi bir uyarı niteliği taşıyor.
9 Temmuz’da (yerel saatle) paylaşılan Ethereum Vakfı duyurusuna göre, protokol güvenlik ekibi ‘CVE-2026-34219’ olarak takip edilen bu açığı, yapay zeka(AI) ‘ajanlarının’ kullandığı otomatik kod analizi sürecinde tespit etti. Hata, libp2p’nin *‘gossipsub’* mesajlaşma katmanında ortaya çıkıyor ve *‘kimliği doğrulanmamış’* bir saldırganın, özel olarak hazırlanmış tek bir mesajla bir düğümü çökertmesine imkân tanıyor. Açık, libp2p-gossipsub v0.49.4 sürümünde giderildi ve bu tarihten önceki tüm sürümleri kullanan operatörler için *derhal yükseltme* öneriliyor.
‘gossipsub’ katmanı, Ethereum(ETH) konsensüs istemcilerinin tamamında blok ve ‘attestation’ (doğrulama) verilerinin ağ içinde yayılmasını sağlayan temel P2P mesajlaşma altyapısı. Söz konusu güvenlik açığı, PRUNE mesajlarının işlenmesi sırasında uygulanan *‘backoff’* süresinin hesaplanmasında yapılan yetersiz kontrol hatasından kaynaklanıyor.
Saldırgan, üst sınıra çok yakın bir backoff değeri taşıyan PRUNE mesajı gönderdiğinde, düğüm bu değeri işlerken zaman hesabında *‘overflow’* (taşma) hatası oluşuyor ve istemci zorla kapanıyor. Güvenlik şirketi *SentinelOne*’a göre bu saldırı akışı hem son derece basit hem de kolayca yeniden üretilebilir yapıda.
ABD Ulusal Güvenlik Açığı Veritabanı(NVD), bu hataya CVSS 8.2 puanla *‘yüksek’* seviye notu verdi. Açığın ağ üzerinden uzaktan sömürülebilmesi, herhangi bir ek yetki veya kullanıcı etkileşimi gerektirmemesi, *risk düzeyini* daha da artırıyor. Üstelik saldırganın, aynı mesaj dizisini tekrar tekrar göndererek düğümleri sürekli devre dışı bırakması ve *kalıcı bir hizmet dışı bırakma(DoS)* durumu yaratması da mümkün.
Etkilenen tarafların kapsamı oldukça geniş. Savunmasız Rust tabanlı libp2p-gossipsub sürümünü kullanan doğrulayıcılar, indeksleyiciler ve çeşitli yardımcı araçlar bu açıktan etkileniyor. Tehdit yalnızca Ethereum(ETH) ile sınırlı değil; aynı kütüphaneye bağımlı olan tüm projeler için de *potansiyel risk* söz konusu.
Bu olay, AI tabanlı güvenlik analizlerinin geldiği noktayı göstermesi açısından da öne çıkıyor. Ethereum Vakfı’ndan Nikos Baxevanis, birden fazla AI ‘ajanını’ paralel şekilde çalıştırarak bu açığı bulduklarını aktardı.
Bu sistemde ajanlar, herhangi bir merkezi komuta yapısı olmadan, doğrudan Git depo verileri üzerinden birbiriyle ‘iş bölümü’ yapıyor. Her bir ajan, saldırı yüzeyinin haritalanması, kod akışlarının takibi, kanıtlayan örnek ‘exploit’ kodlarının üretilmesi ve son doğrulama gibi farklı görevlerden sorumlu.
Burada en kritik ölçüt, *‘yeniden üretilebilirlik’* oldu. Gerçek dünyada bir geliştiricinin, orijinal kod tabanı üzerinde aynı hatayı adım adım tetikleyebilmesi zorunlu tutuldu. Bu sayede sadece test ortamlarında görülen sorunlar veya pratikte saldırıya dönüştürülemeyecek durumlar *‘yanlış pozitif’* olarak elendi.
Baxevanis, “*Hata bulmaktan çok, bunun gerçekten güvenlik açığı olup olmadığını kanıtlamak daha zahmetliydi*” diyerek, AI destekli güvenlik yaklaşımının pratik sınırlarına dikkat çekti. *yorum* Bu, AI araçlarının artık ‘aday açık’ bolluğu yaratırken, son aşamadaki insan denetiminin önemini artırdığını gösteriyor. yorum
CVE-2026-34219, tekil bir vaka olmanın ötesinde, son dönemdeki *ardışık yüksek riskli* libp2p hatalarının devamı niteliğinde. Daha önce bildirilen ‘CVE-2026-33040’ da yine PRUNE backoff işleme mantığıyla ilgili benzer bir sorundu ve CVSS 8.7 puanla daha da yüksek bir risk seviyesi taşıyordu.
Art arda gelen yamalarda aynı mesaj işleme hattının hedef alınması, libp2p gossipsub tasarımında *‘yapısal bir güçlendirme’* sürecinin yürütüldüğüne işaret ediyor. Diğer yandan, tam da bu alanın saldırganlar için uzun süreli bir *‘odak noktasına’* dönüşebileceğini de gösteriyor.
Ethereum(ETH) ekosisteminde AI tabanlı güvenlik analizlerinin, yalnızca akıllı sözleşmelerde değil, ağ ve sistem bileşenlerinde de yaygınlaşması önemli bir dönüşüme işaret ediyor. Uzun vadede bu eğilim altyapı güvenliğini güçlendirme potansiyeli taşırken, aynı zamanda *çok sayıda aday açık* üretimi nedeniyle, bunların ayıklanması ve önceliklendirilmesini de zorlu bir sürece dönüştürüyor.
Sonuçta belirleyici olan, ‘*karar mekanizması*’. Ethereum Vakfı, “*Sorun artık keşiften çok doğrulama aşamasına kaydı*” diyerek, son sözü söyleyen *insan denetiminin* eskisinden de kritik hale geldiğini vurguluyor.
Şu anda atılması gereken adım ise net: Tüm düğüm ve araç operatörlerinin libp2p-gossipsub sürümlerini *en az v0.49.4* seviyesine yükseltmesi gerekiyor. Güncel yama, PRUNE mesajlarındaki backoff değerleri için kapsamlı bir ‘aralık kontrolü’ getirerek zaman hesaplaması sırasında oluşan overflow yolunu *temelden kapatıyor*.
Bu süreç, bir yandan Ethereum(ETH) ağ altyapısının hâlâ ne kadar hassas katmanlara sahip olduğunu hatırlatırken, diğer yandan da AI destekli güvenlik analizleriyle birlikte *Ethereum(ETH) altyapı güvenliğinin yeni bir evreye girdiğini* gösteren önemli bir örnek olarak öne çıkıyor.
Yorum 0