Polkadot köprüleri açıkları Ethereumda 1 milyar DOT tokenı basıyor

Polkadot ile Ethereum'u birbirine bağlayan Hyperbridge çapraz zincir geçidinde 13 Nisan 2026 tarihinde kritik bir güvenlik açığı keşfedildi. Güvenlik firması CertiK’e göre, bir saldırgan Merkle Mountain Range kanıt doğrulamasındaki tekrar oynatma açığından yararlanarak Ethereum’daki köprülenen DOT sözleşmesi üzerinde yetkisiz yönetici erişimi elde etti. Saldırgan bir milyar sahte DOT tokenı basıp tek bir takas işlemi gerçekleştirdi ve tüm arzı yaklaşık 108,2 ETH’e (yaklaşık 237.000 ABD doları) dönüştürdü; likidite kısıtlamaları ek satışları engelledi. Köprülenen DOT’un fiyatı etkilenmiş havuzlarda yaklaşık 1,22$ seviyesinden birkaç sente düşerek büyük borsalarda DOT fiyatında yaklaşık %5'lik bir düşüşe yol açtı ve kısmi toparlanmadan önce düşüş görüldü.

On-chain verileri, istismarın yaklaşık 05:05 UTC civarında meydana geldiğini gösteriyor; sahte durum-bağlantı kanıtları, tokengateway.handleChangeAdmin işlevindeki kimlik doğrulama kontrollerini aşmasıyla bu olaya yol açtı. Bu kusur, saldırganın Ethereum’daki ERC-20 ile sarılı DOT sözleşmesinin yönetici rolünü üstlenmesine ve sınırsız token arzı üretmesine olanak tanıdı. Basım ölçeğine rağmen, merkezi olmayan borsalardaki sığ likidite saldırganın karını 250.000 ABD dolarının altında tuttu. Polkadot’un ana röle zinciri güvenli kaldı ve yerel DOT tokenleri ihlalden etkilenmedi. Geliştiriciler ve denetçiler, sıkı yönetici-rol kontrollerini uygulamak ve tekrar oynatma güvenliğini çözmek için yamaları önceliklendiriyorlar.

CoinGecko gibi önde gelen zincirüstü analiz platformları, istismardan sonraki dakikalarda DOT fiyatının $1,23'ten en düşük $1,17'ye düştüğünü kaydederken yaklaşık $1,19 civarında istikrar kazandığını bildirdi. Hyperbridge geliştiricileri, CertiK ve blok zinciri güvenliği uzmanlarıyla işbirliği yaparak tam bir post-mortem gerçekleştirmek, gateway sözleşmesini yamamak ve ek yönetişim güvenlik tedbirleri uygulamak için taahhüt verdi. Polkadot topluluğu ayrıca yakın zamanda uygulamaya konulan arz-kısıt yönetişim önlemlerini de gözden geçiriyor ve kriptografik kanıtlara dayanan çapraz zincir çözümlerinde kapsamlı güvenlik denetimlerinin gerekliliğini vurguluyor. Bu olay, köprü güvenlik açıklarının sürekli bir risk olduğunu ve akıllı sözleşme geliştirme süreçlerinde sıkı biçimsel doğrulamanın önemini bir kez daha ortaya koyuyor.