
Yaklaşık 3.000 dolar'a kiralanabilen bir sunucunun, 70 milyar dolarlık dijital varlıkları riske atması olağan dışıdır. Şubat 2026 sonunda, Hexens adlı güvenlik firması araştırmacıları bunu başardı. Güçlü bir makine kurarak, Aptos doğrulayıcı ağının yaklaşık üçte birini taklit ettiler ve zincirin temel güven varsayımını 20 denemenin 17-18'inde kırdılar. Doğrulayıcı anahtarı, içeriden erişim veya özel izin gerekmedi; yalnızca standart donanım ve Aptos Move sanal makinesinin derinlerinde yer alan bir hata kullanıldı.
Açık acil kanallar üzerinden bildirildi, birkaç gün içinde yamandı ve hiç kimse herhangi bir kayıp yaşamadı. Ancak Hexens’in risk analizi sonucu açıkladığı 70 milyar dolar rakamı bu olayı Temmuz başında manşetlere taşıdı. Bu, yalnızca Aptos’u değil, köprüleri, zincirler arası mesajlaşmayı, stablecoin basım yetkisini ve merkezi borsalardaki bakiyeleri de kapsayan sistemik bir risk olarak hesaplandı.
Bu makalede, hatanın ne yaptığı, neden bu kadar büyük bir risk olduğu, kimse zarar görmeden nasıl yakalandığı ve APT bulunduruyorsanız ya da herhangi bir Move tabanlı zincirde işlem yapıyorsanız bunun ne anlama geldiği ele alınacaktır.
Aptos Ağında Gerçekte Ne Yaşandı?
Açık, Hexens'in CTO’su ve kurucu ortağı Vahe Karapetyan tarafından 25 Şubat 2026'da tespit edilip Aptos güvenlik kanalları üzerinden raporlandı. Kamuya açık yama iki gün sonra, 27 Şubat’ta yayımlandı ve ekip birkaç saat içinde ana ağa çözümü uyguladı. Tam teknik detaylar dört aydan uzun süre gizli tutuldu, sadece 4 Temmuz 2026 civarında, ağ tamamen güncellenip risk ortadan kalkınca kamuya açıldı.
Yama ile açıklama arasındaki bu boşluk, bu tür ciddi hatalar için standart bir uygulamadır. 70 milyar dolarlık bir saldırının şeması, tüm doğrulayıcılar kapıları kapatana kadar yayımlanmaz. Okuyucular haberi öğrendiğinde, bu istismar yolu artık canlı zincirde mevcut değildi.
Aptos Labs, hatanın pratikte ne kadar tehlikeli olduğu konusunda farklı bir görüşte. Sözcüleri CoinDesk'e yaptığı açıklamada, kendi analizlerinde hatanın "gerçek dünya koşullarında son derece düşük sömürülebilirliğe" sahip olduğunu belirttiler ancak yamaya ihtiyaç duyulduğunu da kabul ettiler. Hexens ise simülasyon sonuçlarına dayanan risk analizinin bu hikayeye ağırlık kattığı görüşünde.
Hata Nasıl Çalışıyordu? Basitçe Açıklayalım
Her akıllı kontrat zinciri, saniyede milyonlarca kez aynı soruyu cevaplamalıdır: Bu veri ne tip ve ne yapabilir? Aptos’ta, bu soruya Move sanal makinesi cevap verir, tüm kontratları çalıştıran ve kuralları uygulayan motor budur. Move, bazı hırsızlık türlerinin yapısal olarak imkânsız hale getirilmesiyle saygı görür; bu da hatanın neden bu kadar önemli olduğunu gösterir.
Hata, VM’in tip bilgisini nasıl önbelleğe aldığıyla ilgiliydi. "Bayat önbellek" koşulu, makinenin belirli zamanlamalarda, değişen doğru cevaba rağmen eski bir cevabı kullanmaya devam etmesine neden oluyordu. Bu eski cevap, tip karışıklığı hatasına yol açtı; yazılım zincirdeki bir kaynağı tamamen farklı bir kaynakmış gibi işliyordu.
Bunu, bir vestiyerden ucuz bir mont fişi alıp, aynı fişi daha sonra kasadaki kasayı almak için kullanmaya benzetebilirsiniz. Fiş değişmese de, sistemin hafızasında neyi temsil ettiği değişti. Blokzincirlerde, "yetki" genellikle zincir üstü bir kaynak olarak saklanır: bir basım izni, köprü kontrolü, bir borç verme piyasasının yönetici anahtarı. VM, değersiz bir nesneyi yetki nesnesi olarak okumaya kandırılırsa, saldırgan protokolün asla vermek istemediği bir güce sahip olur.
3.000 dolarlık sunucunun önemi, zamanlama pencerelerinin ancak işlemleri işleyen doğrulayıcıların hatırı sayılır kısmı kontrol edilirse güvenilir şekilde açılabilmesidir. Ağın yaklaşık üçte birini simüle etmek, araştırmacılara koşulları hizalamak için yeterli etkiyi sağladı ve başarı oranları %90’ın üzerinde oldu. Bu bir piyango bileti değil, motivasyonu olan biri tarafından kiralanabilecek tekrarlanabilir bir saldırı yoludur.
Neden Rakam 70 Milyar Dolara Çıktı?
Aptos üzerinde gerçekten kilitli olan para, başlıkta verilen rakamdan çok daha azdı. Aptos protokollerinde kilitli doğrudan değer, o dönemde yaklaşık 250 milyon dolar civarındaydı; bu gerçek bir meblağ ama 70 milyar doların yanında küçük kalıyor. Büyük rakam ise sahte yetki nesnesinin ulaştığı tüm alanlardan geliyor.
Bir tip karışıklığı hatasıyla elde edilen basım izni, zincir sınırlarını dikkate almaz. Modern kripto altyapısı köprüler, zincirler arası mesajlaşma ve ortak stablecoin altyapısı ile birbirine bağlı durumda; dolayısıyla bir zincirde inandırıcı şekilde anlatılan bir yalan, başkaları tarafından da kabul edilebiliyor. Hexens, Aptos durumuna güvenen sistemler arasında birinci dereceden zararı haritalandırdı ve toplam yaklaşık 70 milyar dolara ulaştı.
| Risk Katmanı | Hatanın Ulaşabildiği Alan | Önemi |
|---|---|---|
| Aptos yerel değeri | Zincir üstünde yaklaşık 250 milyon $ | Aptos üzerindeki doğrudan fonlar |
| Zincirler arası köprüler | Köprü kontratlarında kilitli varlıklar | Sahte kaynak, yetkisiz varlığı serbest bırakabilir |
| Stablecoin basım yetkisi | Circle'ın zincirler arası protokolünde USDC basımı | Sahte izin, sıfırdan yeni token üretilmesine yol açabilir |
| Borsa bakiyeleri | Aptos transferlerinden aktarılan yatırımlar | Sahte transferler gerçek olarak kaydedilir |
| Zincirler arası mesajlaşma | Ağlar arası aktarılan durumlar | Güvenilen bir yanlışlık yayılabilir |
En kritik alan ise stablecoin basımıdır. USDC, Circle'ın Cross-Chain Transfer Protocolü üzerinden zincirler arası basılıp transfer edilebilir ve her bağlantılı ağdaki işlemler hakkında iletilen bilgilere güvenir. Bir saldırgan, basımı yetkilendiren zincir üstü kanıtı sahte olarak oluşturursa, desteklenmeyen yeni stablecoin’leri piyasaya sürebilir ve bu durum, defterler daha mutabık olmadan zincirler arası hızlıca yayılabilir. Bu mekanizma, 250 milyon dolarlık bir sorunu sistemik hale getirir ve 2026’daki tüm büyük köprü istismarlarıyla benzerlik gösterir: Kayıp, hatanın ortaya çıktığı zincirin ötesine taşar.
Kimse Para Kaybetmeden Açık Nasıl Fark Edildi?
Bu bölüm, APT sahiplerini riskten daha fazla rahatlatmalıdır. Hata, ücretli bir güvenlik firması tarafından saldırgan araştırma kapsamında bulundu, sorumlu bildirim kanalıyla raporlandı ve zararlı bir aktörün kullanmadan önce kapatıldı. Sistem doğru çalıştı.
| Tarih | Olay |
|---|---|
| 25 Şubat 2026 | Hexens, açığı Aptos güvenlik kanallarına raporladı |
| 27 Şubat 2026 | Kamuya açık yama isteği yayımlandı |
| Şubat sonu 2026 | Çözüm test edilip ana ağa uygulandı, doğrulayıcılar güncellendi |
| 4 Temmuz 2026 | Risk tamamen ortadan kalkınca detaylar kamuya açıklandı |
Bu keşfi mümkün kılan iki unsur vardı. Birincisi, Aptos'un ciddi bir hata ödül programı yürütmesi ve Hexens gibi bir firmayı cezbetmesiydi. Bu sayede yetenekli araştırmacılar, açığı karanlık piyasalara satmak yerine kodu yasal yollarla test etti. İkincisi ise Move’un tasarımının, hatayı arayan biri için belirgin hale getirmesiydi. Dilin katı tip sistemi, hem hatanın kötüye kullanılmasını sağladı hem de mühendislerin çözümü hızlıca üretmesine yardımcı oldu.
Burada rahatsız edici bir ders de mevcut: Orta düzey teknik donanım ve iyi finanse edilen bir araştırmacı, simülasyonda %90’ın üzerinde başarı elde etti. İyi niyetli kişiler bunu kiralayabiliyorsa, kötü niyetliler de yapabilir. Savunma, saldırının zorluğunda değil; Hexens'in önce davranıp rapor etmesindeydi.
APT Bulunduruyorsanız veya Move Zincirleri Kullanıyorsanız Ne Anlama Geliyor?
APT, Temmuz 2026 başı itibarıyla 0,63 $ civarında işlem görüyor ve açıklama yapıldığında fiyat neredeyse hiç tepki vermedi. Çünkü risk, kamuya açıklandığında zaten geçmişte kalmıştı. Fon kaybı, protokol iflası, dondurulmuş köprü gibi bir olay yok. Bu, mevcut verilerle yamanmış bir hata, canlı bir kriz değil.
Buradan çıkarımınız, yeni nesil yüksek performanslı zincirler hakkında genel tutumunuz olmalı. Aptos ve Move tabanlı kardeş ağlar hızlı ve zarif tasarıma sahip; bu da onları DeFi ekosistemindeki eski sistemlerde sıkça rastlanan yeniden giriş/taşma hatalarına karşı daha güvenli kılıyor. Ancak bu bulgu, "bazı yönlerden kanıtlanabilir şekilde daha güvenli" olmanın "kırılamaz" anlamına gelmediğini gösteriyor. Move'un getirdiği yenilikler, sanal makinenin geçmişteki saldırı baskısına Ethereum gibi uzun süreli zincirler kadar maruz kalmamasına yol açtı.
Bir yatırımcı için pratik sonuç, paniğe kapılmak yerine pozisyon büyüklüğünü ve risk farkındalığını göz önünde bulundurmaktır. APT, portföyde yüksek riskli varlıklar arasında yer almalı. Tehdit zincirler arası olduğu için taşıdığınız risk tamamen eldeki token'la sınırlı değildir. Eğer stablecoin bulunduruyorsanız veya zincirler arası borç verme piyasalarını kullanıyorsanız, bir Move-VM hatasına dolaylı olarak maruz kalırsınız; çünkü bu sistemler, tip karışıklığı saldırısıyla sahte olarak üretilebilecek zincir durumuna güvenir. Buradaki sağlıklı sonuç, zinciri tamamen terk etmek değil; herhangi bir varlığın güvenliğinin, doğrudan temas etmediğiniz ağlarda çalışan koda da bağlı olduğunu idrak etmektir.
Sıkça Sorulan Sorular
Aptos şu anda güvenli mi?
Spesifik açık, 2026 Şubat sonunda yamandı ve hiçbir fon kaybı yaşanmadı, yani bu saldırı yolu ana ağda artık mevcut değil. Hiçbir blokzincir tamamen kanıtlanmış güvenli değildir, ancak mevcut bilgiyle Aptos'un durumu önceye göre daha sağlam; çünkü kritik bir açık araştırmacılar tarafından tespit edilip kapatıldı.
Tip karışıklığı açığı nedir?
Bir yazılımın, bir veriyi yanlış nesne türü olarak değerlendirmesiyle oluşan bir hatadır. Vestiyer fişinin kasa anahtarı gibi okunmasına benzer. Blokzincirde ise bu, saldırganın değersiz bir kaynağı sanki basım izni veya köprü kontrol yetkisi varmış gibi kullanabilmesine neden olur; bu sebeple bu tür hatalar oldukça risklidir.
Aptos Move VM açığından dolayı gerçek bir kayıp yaşandı mı?
Herhangi bir aşamada fon kaybı yaşanmadı. Hexens, 25 Şubat'ta acil kanallardan hatayı bildirdi, Aptos birkaç gün içinde yamayı uyguladı ve kamuya açıklama, yamanın hayata geçmesinden sonra yapıldı.
Bu hata diğer Move zincirleri (ör. Sui) için riskli mi?
Hata, Move sanal makinesinin Aptos’a özel uygulamasında bulundu; yani her Move zinciri için geçerli genel bir açık değildi. Ancak Move dilini paylaşan ağların benzer risk yüzeyine sahip olduğunu gösteriyor. Bu nedenle, her ağın kendi VM güvenliğini nasıl yönettiğini izlemek önemlidir.
Sonuç
Buradaki asıl ders 70 milyar dolar değil; bir CTO’nun 3.000 dolarlık sunucuyla, ayrıcalıklı erişimi olmadan güvenlik odaklı olarak tanıtılan bir zincirde %90'ın üzerinde başarı sağlamasıdır. Pazarlama ile gerçek arasındaki bu boşluk, yalnızca ücretli saldırgan araştırmalar ve hızlı bildirimlerle kapanır; bunlar burada doğru işledi. Aptos'un bir sonraki ödül ödemesini ve VM denetimini nasıl yöneteceğini izleyin; çünkü Şubat ayını bir uyarı olarak gören ağ, uzun vadede tutulmaya değerdir. Ekosistem güvenlik duruşunu güçlendirirken APT yakın zamandaki diplerin üstünde kalırsa, bu açıklama bir itibar kazanımı olarak değerlendirilir.
Bu makale yalnızca bilgilendirme amaçlıdır; finansal ya da yatırım tavsiyesi niteliğinde değildir. Kripto para ticareti önemli riskler içerir. Herhangi bir yatırım kararı vermeden önce kendi araştırmanızı yapmalısınız.






