
4 Temmuz 2026'da Hexens adlı güvenlik firması, Aptos Move sanal makinesinde ortaya çıkan bir tür karışıklık (type-confusion) açığının teorik olarak yaklaşık 70 milyar dolar değerindeki varlığı saldırganların erişimine açabileceğini duyurdu. Araştırmacılar, bu açığı 3.000 dolarlık bir sunucu üzerinde çalışan simüle edilmiş bir Aptos ortamında yeniden oluşturdular, %90 başarı oranı elde ettiler ve Şubat ayı sonunda bunu Aptos ekibine bildirdiler. Aptos, ana ağda kullanılmadan önce açığı yamadı ve hiçbir fon kaybı yaşanmadı.
Bu rakam, Move tabanlı varlıkları elinde bulunduran herkes için önemli bir soru işareti yaratıyor. Aptos ve Sui, Meta'nın terk ettiği Diem projesinden çıkan aynı programlama dilini kullanıyor; Movement ve Sei ise aynı ailede yer alıyor. Eğer tek bir hata Aptos'ta 70 milyar doları tehlikeye atabiliyorsa, Move kategorisindeki tüm zincirler için temel bir güvenlik sorunu var mı?
İşte bu açığın ne olduğu, kapsamı, önde gelen iki Move zincirinin risk profilleri ve istismar edilmeden önce yamalanan bir açığın APT veya SUI varlıklarını elinde tutanlar için ne anlama geldiği.
70 Milyar Dolarlık Açık Ne Anlama Geliyor?
Hexens, bu sorunu eski (stale) önbellekleme nedeniyle oluşan bir tür karışıklık açığı olarak tanımladı. Sanal makine, zincir üzerindeki bir kaynağı başka bir türdeymiş gibi algılayabiliyor. Gerçek mülkiyet ve yetkileri temsil eden kaynaklar etrafında inşa edilmiş bir dilde, türler karıştırıldığında saldırganlar sahip olmadıkları yetkileri alabilir.
70 milyar dolarlık rakam, tek bir sözleşmede duran bir para havuzu değil, sistemik bir risk tahmini. Bu rakamda, saldırganın sahte yetkilerle erişebileceği köprüler, zincirler arası mesajlaşma sistemleri, stablecoin yönetim akışları ve merkezi platformlarda saklanan varlıklar dahil edildi. Araştırmacılar, LayerZero, Wormhole ve USDC'nin zincirler arası transfer sistemleri gibi altyapıların da bu kapsamda olduğunu belirtti.
İki önemli unsur bu durumu bir felakete dönüştürmedi: Açık, özel olarak bildirildi ve kamuoyuna açıklanmadan aylar önce giderildi; istismar ise laboratuvar ortamında, ana ağda gerçekleşmedi. Buradaki önemli nokta, keşif maliyetinin düşük olması: Ciddi bir hata bulmak için devlet düzeyinde bütçeye gerek yoktu; orta düzey bir sunucu ve Move VM'nin derinlemesine anlaşılması yeterli oldu.
Move Nedir ve Hangi Blokzincirleri Bu Dili Kullanıyor?
Move, Meta'nın rafa kaldırılan stablecoin projesi Diem'in mühendisleri tarafından tasarlanmış, kaynak odaklı bir programlama dilidir. Temel fikri, dijital varlıkların yalnızca sahipleri arasında taşınabilen, kopyalanamayan ve sessizce silinemeyen kaynaklar olarak modellenmesi. Bu tasarım, eski akıllı sözleşme platformlarından milyarlarca doların çıkmasına neden olan hata türlerini ortadan kaldırıyor.
Move'u tek bir blokzincir olarak değil, farklı ekiplerin kendi zincirlerini inşa etmek için kullandığı ortak bir plan olarak düşünün. Aptos ise hesap tabanlı bir veri modeli ve paralel yürütme motoru Block-STM kullanıyor. Sui ise modeli bireysel objeler etrafında yeniden yazarak, Sui Move adlı kendi lehçesini ayrı bir sanal makine üzerinde çalıştırıyor. Movement (MOVE), Ethereum uyumluluğu hedefleyen bir Move ağı geliştiriyor; Sei ise kendi paralel yapısıyla ekosisteme bitişik duruyor.
En önemli ayrım, 70 milyar dolarlık başlığın da bulanıklaştırdığı gibi, Move dilinin kendisiyle herhangi bir ekibin uygulaması arasındaki farktır. Dil; türler, sahiplik ve erişimle ilgili kuralları tanımlar. Sanal makine ise bu kuralları çalışma zamanında (bytecode doğrulayıcı ve önbellekleme katmanı dahil) uygular. Bir ekibin uygulama kodundaki hata, ortak tasarımın hatası anlamına gelmez.
Açık Sui'yi de mi Yoksa Sadece Aptos VM'yi mi Etkiledi?
Bu soru, sorunun Aptos'a mı yoksa Move'a mı ait olduğunu belirliyor ve dürüst cevap sadece Aptos'la sınırlı olduğu. Eski önbellekleme durumu, özellikle Aptos Move VM'de, kaynak erişimini hızlandırmak için Aptos mühendislerinin yazdığı önbellekleme yolunda mevcuttu. Sui bu kod tabanını paylaşmaz.
Sui, nesne merkezli sahiplik modeliyle farklılaşan, Mysten Labs tarafından ayrı olarak geliştirilen bir sanal makine üzerinde Sui Move çalıştırır. Her iki zincir de aynı dil felsefesini miras aldı, ancak uygulama o kadar farklılaştı ki birindeki önbellek hatası diğerine doğrudan etki etmez. Sui bu açığa karşı savunmasız değildi; Movement ve Sei de etkilenmedi.
Buradaki önemli nüans, açığın bir uygulama hatası olup Move dilinin tür sisteminin zayıf olduğunu göstermediğidir. Dilin kaynak kuralları korundu. Hata, bir VM'nin veriyi önbelleğe alma ve yeniden getirme şeklindeydi; bu, yüksek performanslı herhangi bir çalışma zamanı ortamında yaşanabilecek bir durumdur. Bu riskin Move ailesinin tamamını tehdit etmediğini gösterir. Her zincirin riski kendi mühendislik kalitesiyle bağlantılıdır ve bu risk ekiplerin denetim ve açıklık disiplinine bağlıdır.
Aptos vs Sui: İki Move Zinciri, İki Farklı Risk Profili
Her iki zincir de aynı Diem mezunu ekipten çıkmasına rağmen, farklı güçlü ve zayıf yönlere sahip iki ayrı ağ haline geldiler. Aptos, stablecoin ve kurumsal alanda öne çıktı; Sui ise zincir üstü ekonomide daha derin bir ekosistem inşa etti. Aşağıdaki tabloda 2026 ortası itibarıyla güncel durumlar karşılaştırılmıştır.
| Boyut | Aptos (APT) | Sui (SUI) |
|---|---|---|
| Lansman ve ekip | Mainnet 2022, Aptos Labs (ex-Meta Diem) | Mainnet 2023, Mysten Labs (ex-Meta Diem) |
| Veri modeli | Hesap tabanlı | Nesne odaklı |
| Move lehçesi | Ana Move | Sui Move (ayrı VM) |
| Konsensüs | Aptos BFT + Block-STM | Mysticeti, saniye altı kesinlik |
| Stablecoin piyasa değeri | Move zincirlerinde lider, yaklaşık 1.6 milyar $ | Yaklaşık 700 milyon $ |
| DeFi TVL | Zirvede yaklaşık 1 milyar $ | Daha yüksek, 2.6 milyar $ zirve |
| Temmuz açığına maruz kalma | Yamandı, fon kaybı yok | Etkilenmedi |
Hiçbir profil kesin olarak daha güvenli değil. Aptos, yakın zamanda canlı bir güvenlik olayı yaşadı ve hızlı bir özel yama ve kayıpsız bir süreçle çıktı; bu da olumsuz değil, olumlu bir göstergedir. Sui ise bu özel açığı kendi VM'sinin farklılığı nedeniyle yaşamadı; ancak kendi kodu henüz daha az test edildi ve daha yüksek DeFi TVL nedeniyle olası bir sorun daha çok değere yol açabilir.
APT veya SUI Sahipleri İçin Bu Açık Ne Anlama Geliyor?
Pratik sonuç, başlıktaki kadar endişe verici değil. Kritik bir açık, güvenlik araştırmacıları tarafından bulundu, sorumlu şekilde raporlandı ve kimse para kaybetmeden önce kapatıldı. Bu, güvenlik sürecinin çalıştığını gösterir. Endişelenmeniz gereken sistemler, açıkların önce saldırganlar tarafından bulunup zarara yol açtığı, kaybın ardından açıklandığı sistemlerdir.
Bu durum, bu zincirlerin genç ve yüksek performanslı olduğunu, saldırı yüzeylerinin halen keşfedildiğini gösteriyor. 3.000 dolarlık bir sunucu ile 70 milyar dolarlık bir açık bulunduysa, gelecekte başka açıklar olasılık dahilinde. Doğru yaklaşım Move varlıklarından kaçınmak değil; bu altyapı riskinin, örneğin Bitcoin gibi 15 yıllık zincirlere kıyasla daha yüksek olduğunu bilerek pozisyon büyüklüğünü buna göre ayarlamaktır. Ayrıca aktif hata ödül programları ve halka açık denetim geçmişi olan projeler tercih edilmelidir. Bu tür istismarların detaylarını DeFi saldırıları ve köprü açıkları yazımızda bulabilirsiniz.
Kısa vadeli yatırımcılar için ise, herhangi bir fon kaybı olmadığı için piyasada anlık bir baskı oluşmadı. Zorunlu tasfiye veya iflas riski gündeme gelmedi. Duyuru, bir bilançoda değil, itibar açısından bir veridir ve APT Temmuz 4'teki haber sonrasında ciddi bir değer kaybı yaşamadı.
Sıkça Sorulan Sorular
Sui, Aptos açığından etkilendi mi?
Hayır. Tür karışıklığı açığı, yalnızca Aptos Move VM'de mevcuttu ve Sui bu kod tabanını kullanmaz. Sui, Mysten Labs tarafından geliştirilen kendi VM'si üzerinde Sui Move çalıştırır, bu nedenle bu açık Sui'yi etkilememiştir.
70 milyar dolarlık rakam, gerçekten bu kadar paranın çalınma riski olduğu anlamına mı geliyor?
Doğrudan değil. Bu, saldırganın sahte izinlerle teorik olarak erişebileceği tüm değeri kapsayan sistemik risk tahminidir. Gerçekte ise Aptos, açığı kamuya açıklanmadan aylar önce kapattı ve hiçbir kayıp yaşanmadı.
Move dili kendi başına güvensiz mi?
Açık, bir ekibin çalışma zamanı önbellekleme hatasından kaynaklandı; Move'un tür sistemi başarısız olmadı. Move'un kaynak modeli korundu. Dil, varlık çoğaltma açıklarını önlemede hala güçlüdür, ancak hiçbir dil zinciri çalıştıran yazılımdaki hatalara karşı tam koruma sağlayamaz.
Bu yüzden APT veya SUI satmalı mıyım?
Buna yönelik bir istismar gerçekleşmedi. Herhangi bir fon kaybı yaşanmadı ve açık kapatıldı. Daha genç zincirlerde altyapı riskinin daha yüksek olduğunu bilerek pozisyon büyüklüğünün buna göre ayarlanması ve aktif hata ödülleri ile kamuya açık denetimlere sahip projelere öncelik verilmesi tavsiye edilir.
Sonuç
70 milyar dolarlık risk gerçekti, ancak bu, önlenmiş bir tehditti. Hexens, Aptos VM'de ciddi bir hata buldu, Aptos bunu Şubat sonunda özel olarak kapattı ve ana ağ fonları tehlikeye girmedi. Sui, Movement ve Sei ise farklı VM'ler kullandığı için etkilenmedi. Gerçek ders: 3.000 dolarlık bir sunucu bile genç ve yüksek performanslı zincirlerde yüksek riskleri ortaya çıkarabilir. Pozisyonlarınızı buna göre ayarlayın ve aktif hata ödül programlarını bir avantaj olarak görün.
Bu makale yalnızca bilgilendirme amacı taşır ve finansal veya yatırım tavsiyesi değildir. Kripto para alım-satımı önemli riskler içerir. Lütfen herhangi bir yatırım kararı almadan önce kendi araştırmanızı yapınız.
