Ödül Merkezi 
2026 yılı Şubat ayının 21’inde, tek bir özel anahtarın ele geçirilmesiyle bir saldırgan, IoTeX'in Ethereum üzerindeki ioTube zincirler arası köprüsünün tam kontrolünü ele geçirdi. Saatler içinde, köprünün TokenSafe sözleşmesinden yaklaşık 4,3 milyon dolar değerinde USDC, USDT, IOTX, WBTC ve BUSD gibi tokenler çekildi. Saldırgan, ayrıca yaklaşık 4 milyon dolar değerinde 111 milyon CIOTX ve 4,5 milyon dolar değerinde 9,3 milyon CCS tokeni bastı. Bağımsız analizlere göre toplam kayıp 8 milyon doları aşıyor.
IoTeX'e göre doğrudan varlık kaybı 4,3 milyon dolar civarında. Çalınan fonlar, kimse donduramadan önce Uniswap üzerinden ETH’ye çevrilip ardından THORChain üzerinden Bitcoin ağına aktarıldı. Olayın ardından IOTX fiyatı %22 gerileyerek 0,0054 dolardan 0,0042 doların altına düştü, ardından bir miktar toparlandı.
IoTeX'in ioTube Köprüsünde Ne Oldu?
ioTube köprüsü, IoTeX'in kendi zincirler arası çözümüdür. Saldırgan, akıllı sözleşmelerde veya kodda açık bulmadı; bunun yerine, köprüdeki Ethereum tarafının validatör sahibi özel anahtarını ele geçirerek MintPool ve TokenSafe sözleşmelerinde yönetici yetkisi kazandı.
Bu tek anahtarla, saldırgan hem gerçek varlıkları kasadan çekebildi hem de yeni sarmalanmış tokenler oluşturabildi. Olay 21 Şubat 07:00-09:00 UTC arasında gerçekleşti. Zincir üzerindeki analizciler, şüpheli işlemleri fark ettikten üç saat sonra IoTeX ilk resmi bildirimi paylaştı.
Ağ validatörleri ve topluluk, köprüdeki boşaltmayı önlemek için ioTube’u durdurdu. IoTeX ardından Layer 1 zincirini tamamen durdurdu ve kötü niyetli adresleri dondurdu. Ağın, güvenlik güncellemeleri ve ana ağ yükseltmesi sonrası 24-48 saat içinde tekrar başlatılması planlanıyor.
IoTeX kurucu ortağı ve CEO'su Raullen Chai, olayın yalnızca Ethereum tarafındaki köprü altyapısıyla sınırlı olduğunu, ana zincir ve diğer köprülerin etkilenmediğini açıkladı.
Saldırgan Fonları Nasıl Akladı?
Fonların aklanması, 2025 ve 2026’da güvenlik firmalarının sıkça gözlemlediği kalıba uygun gerçekleşti. Çalınan tokenler Uniswap’te ETH’ye çevrilip birkaç cüzdanda toplandı ve ardından KYC gerektirmeyen THORChain üzerinden Bitcoin ağına aktarıldı.
IoTeX, 23 Şubat itibarıyla yaklaşık 66,6 BTC (yaklaşık 4,3 milyon dolar) tutan dört Bitcoin cüzdanını tespit etti. Uzmanlara göre, THORChain’den geçen varlıkların geri alınması oldukça zordur çünkü merkezi bir otorite yoktur.
Bu yöntem yeni değil. THORChain, aracı olmadan hem Bitcoin (UTXO tabanlı) hem de Ethereum (hesap tabanlı) zincirleri arasında köprü işlevi görerek, profesyonel saldırganların tercih ettiği bir rota haline geldi. Benzer bir yöntem 2023’teki bir cüzdan saldırısında da görülmüştü.
Dahası, zincir analizleri saldırganın cüzdanını 2025’teki 49 milyon dolarlık Infini platformu saldırısına bağladı. Her iki saldırı da uzun hazırlık süresi, içeriden erişim ve köprü fonlarının THORChain üzerinden aklanması gibi ortak noktalar taşıyor. IoTeX ekibi, saldırının 6-18 ay önceden planlandığını gösteren kanıtlar bulduğunu belirtti.
%10 Ödül Teklifi: Kriptoda Pazarlık Süreci
Saldırıdan iki gün sonra IoTeX, saldırgana kalan fonları 48 saat içinde iade etmesi karşılığında yaklaşık 440 bin dolarlık %10 ödül teklif etti. Ayrıca yasal işlem yapılmayacağı ve kimlik bilgilerinin paylaşılmayacağı taahhüt edildi.
Bu yaklaşım, DeFi ekosisteminde kriz yanıtı olarak yaygınlaştı. Proje, saldırganın cüzdanına zincir üzerinde mesaj gönderir ve bir süre tanır. Fonlar iade edilirse, ödül saldırganda kalır. Aksi halde, yasal yollara ve merkezi borsalar ile iş birliğine başvurulur.
Geçmiş örnekler karışık sonuçlar verdi:
| Saldırı | Çalınan Tutar | Ödül Teklifi | Sonuç |
|---|---|---|---|
| Euler Finance (Mar 2023) | $197M | %10 + $1M bilgi ödülü | Tüm fonlar haftalar süren pazarlık sonucu geri döndü |
| Poly Network (Ağu 2021) | $612M | "Mr. White Hat" unvanı | Tüm fonlar iade edildi (eğlence amaçlı olduğu iddia edildi) |
| Sentiment Protocol (Nis 2023) | $1M | $95K (%10) | 2 günde %90 fon iade edildi |
| KyberSwap (Kas 2023) | $46M | %10 ($4.6M) | Saldırgan tüm protokol kontrolünü talep etti, anlaşma olmadı |
| IoTeX (Şub 2026) | $4.3M | %10 ($440K) | 24 Şubat itibarıyla beklemede |
Euler Finance örneği özellikle öğretici. Saldırgan, başta fonları hareket ettirdiyse de ek bilgi ödülü ve hukuki baskı sonrası tüm varlıklar iade edildi. KyberSwap’ta ise saldırgan, ödül teklifini reddedip daha fazla talepte bulundu ve anlaşma olmadı.
Neden Özel Anahtar Saldırıları Devam Ediyor?
IoTeX vakası, kodun değil operasyonel güvenliğin zayıf nokta olduğunu gösteriyor. 2025’in ilk çeyreğinde çalınan fonların %88’i özel anahtar sızıntılarından kaynaklanmıştı. Sektör milyarlarca dolar denetim harcarken, saldırganlar doğrudan yönetici anahtarlarını hedef alıyor.
Başlıca köprü saldırılarında da benzer pattern görülür:
| Köprü Saldırısı | Yıl | Kayıp | Temel Neden |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | $624M | 9 validatörden 5’inin özel anahtarı ele geçirildi |
| Wormhole | 2022 | $326M | İmza doğrulama açığı (kod hatası) |
| BNB Bridge | 2022 | $568M | Doğrulayıcı hata (kod hatası) |
| Nomad | 2022 | $190M | Güvenli kök açıklığı (kod hatası) |
| Flow blockchain | Ara 2025 | $3.9M | Özel anahtar sızıntısı |
| CrossCurve | Şub 2026 | $3M | Eksik doğrulama kontrolü |
| IoTeX (ioTube) | Şub 2026 | $4.3M+ | Validatör sahibi özel anahtarı ele geçirildi |
Ronin vakasında, yeterli ayrım ve denetim sağlanmadığı için saldırgan haftalarca tespit edilemedi. IoTeX ise birkaç saat içinde müdahale etti ancak tek bir anahtarın bu kadar kritik erişim sağlaması hala ana risk.
Zincirler Arası Köprülerdeki Genel Risk Profili
2022’den bu yana köprü saldırılarında 2,8 milyar dolardan fazla kripto varlık kayboldu. Bu tür köprüler, az sayıda anahtarla yönetilen büyük değerli sözleşmeler nedeniyle önemli bir saldırı yüzeyi sunuyor. Bazı saldırılar aylarca-yıllarca planlanabiliyor.
2025’te köprü saldırılarında yapılan analizlere göre, çalınan fonların sadece %4,6’sı ödül pazarlığıyla iade edildi. Başka %13’lük bölüm hızlı ekip müdahalesiyle dondurulabildi. Ancak %53,6’sı hâlâ hareketsiz cüzdanlarda bekliyor.
Çözüm açısından; yerel hafif istemci doğrulama (Succinct, Polymer gibi projeler), çoklu imza ve anahtar rotasyonu, validatör anahtarları için donanım güvenlik modülleri ve ayrıcalıklı adreslerden çekimlerde oran sınırı gibi yöntemler öne çıkıyor. Bunların çoğu başka köprülerde uygulanıyor; IoTeX’in neden henüz geçmediği sorgulanıyor.
IOTX Fiyatına Etkisi Ne Oldu?
Saldırı öncesi IOTX fiyatı yaklaşık 0,0054 dolardı. Duyurudan sonra 0,0042 dolara kadar düştü (%22 değer kaybı). 24 Şubat itibarıyla 0,0045 dolar civarında işlem görüyor ve piyasa değeri yaklaşık 43 milyon dolar. Hacim, saldırı sonrası 24 saatte %500 artış gösterdi ve 17 milyon doları aştı. Upbit ve Binance gibi borsalar önlem amaçlı IOTX işlemlerini askıya aldı.
Tüm zamanların en yüksek seviyesi olan 0,26 dolar ise güncel fiyatın %98 üzerinde. Saldırıdan önce de IOTX fiyatı genel piyasa eğilimine paralel olarak düşüşteydi.
IoTeX, kullanıcılar için 48 saat içinde bir telafi planı açıklayacağını duyurdu. Basılan tokenlerin çoğu dondurulmuş veya kurtarılma sürecinde, bu nedenle uzun vadeli fiyat etkisi sınırlı olabilir.
Yatırımcılar için Sonuçlar
- Köprü kullanımı protokol riski taşır: Herhangi bir zincirde sarmalanmış token tutuyorsanız, riskiniz yalnızca varlığın kendisine değil, köprünün anahtar yönetimi ve operasyonel güvenliğine de bağlıdır.
- Ödül süresini izleyin: IoTeX’in 48 saatlik ödül süresi, kısa vadede önemli. Saldırgan fonları iade ederse rahatlama yaşanabilir. Aksi takdirde yasal süreç ve bilgi ödülü gündeme gelebilir.
- Özel anahtar saldırıları yeni trend: Kod denetimleri gelişti, ancak operasyonel güvenlik zafiyetleri öne çıktı. Bir köprüyle işlem yapmadan önce çoklu imza, donanım anahtarı ve işlem limiti gibi güvenlik özelliklerini kontrol edin.
Sıkça Sorulan Sorular (SSS)
Köprü saldırısından sonra IoTeX bir dolandırıcılık mı?
Hayır. IoTeX, 2017’de kurulan ve Google, Samsung, ARM ile ortaklıkları olan, Polygon’un AggLayer’ı ile entegre olan meşru bir projedir. Saldırı, köprü altyapısındaki operasyonel güvenlik açığından kaynaklanmıştır.
Saldırgan fonları iade edecek mi?
Tahmin etmek mümkün değil. Zincir analizleri saldırganı organize ve profesyonel bir grup olarak tanımlıyor. THORChain üzerinden Bitcoin’e aktarılan fonların yasal yollarla iadesi çok zordur.
IoTeX’in gerçek kaybı ne kadar?
Resmi açıklamaya göre TokenSafe sözleşmesinden yaklaşık 4,3 milyon dolar çekildi. Ek olarak basılan, fakat dondurulmuş tokenler de bazı analizlerde hesaba katılıyor. Dondurulan tokenler kalıcı kayıp olmayabilir.
Zincirler arası köprüler güvenli mi?
Köprüler, toplam kaybedilen tutara göre kriptoda en riskli altyapıdır. 2022’den bu yana 2,8 milyar dolar çalındı. Güvenlik özellikleri güçlü köprüleri, minimum süreyle ve düşük tutarla kullanmak önerilir.
Sonuç
IoTeX vakası, kriptoda güvenlik probleminin koddan anahtarlara kaydığını gösteriyor. Akıllı sözleşmeler sağlamdı, ancak tek bir özel anahtarın ele geçirilmesi, milyonlarca doları tehdit edebiliyor.
IoTeX’in %10 ödül teklifi, bazı örneklerde olumlu sonuç vermiştir (Euler, Sentiment) ancak sonuç saldırganın profiline bağlıdır. Kurumsal düzeyde çalışan bir grup ödül teklifine sıcak bakmayabilir.
Genel ders; zincirler arası köprüler, büyük varlıkları az sayıda anahtarın kontrolüne bırakarak önemli bir risk oluşturuyor. Gerçekten güvenli çözümler için güvene dayalı doğrulama yerine ZK kanıtları ve donanım güvenlik modüllerine yönelmek kritik.
Disclaimer: Bu makale yalnızca bilgilendirme amaçlıdır ve finansal tavsiye niteliğinde değildir. Kripto varlık yatırımları yüksek risk içerir. Yatırım kararı öncesinde kendi araştırmanızı yapınız.
