Ağustos 2024’te, çeşitli kriptopara borsalarının uğradığı siber saldırıların sonunda milyon dolar çalındı ve yalnızca kimlik avı (phishing spam attack) dolandırıcılığı 323,6 milyon doları oluşturdu.
Hacklerın saldırısı 15 milyon dolar kayıpla sonuçlandı, ancak 12 milyon dolar beyaz şapkalı bir hacker tarafından iade edildi ve hacklerden kaynaklanan net kayıp 3 milyon doların biraz üzerinde kaldı.
CertIk’e göre bu, Ocak 2021’den bu yana kaydedilen en yüksek aylık saldırı tutarına işaret ediyor.
İşte ayın en kritik 5 borsa saldırısı
🚨 RONIN BRIGDE – 12 Milyon Dolarlık Saldırı
6 Ağustos 2024’te Ronin Köprüsü, yükseltilmiş bir sözleşmedeki başlatılmamış bir değişken nedeniyle 12 milyon dolarlık bir istismara uğradı.
Bir MEV botu bu açıktan faydalanarak 4.000 ETH ve 2 milyon USDC ele geçirdi. Neyse ki, fonlar 500.000 $ hata ödülü ile ödüllendirilen beyaz şapkalı hacker tarafından iade edildi. Olayın ardından köprü bir denetim için devre dışı bırakıldı.
🚨 NEXERA – Kuzey Koreli Kötü Amaçlı Yazılıma 1,5 Milyon Dolar Kaybetti
7 Ağustos 2024 tarihinde Nexera, 47,24 milyon NXRA tokeninin yetkisiz transferine yol açan bir özel anahtar istismarına maruz kaldı.
Saldırganlar, Kuzey Kore tarafından geliştirilen ve kullanılan bir bilgi hırsızı olan BeaverTail kötü amaçlı yazılımını kullandı. Nexera token sözleşmesini hızlı bir şekilde duraklattı ve 32,5 milyon NXRA tokenini geri alarak daha fazla kaybı önledi.
🚨 DPRK – Wagemole Projesi
Blockchain araştırmacısı ZachXBT’ye göre, Kuzey Koreli geliştiriciler sahte kimlikler kullanarak bir kripto para birimi projesine sızdı ve kötü amaçlı kod göndererek 1,3 milyon dolar çaldı.
“Wagemole” adı verilen daha büyük bir operasyonun parçası olan bu geliştiriciler, Haziran 2024‘ten bu yana 25’ten fazla kripto projesini hedef aldı ve yalnızca geçtiğimiz ay yaklaşık 375.000 dolar kazandı. ZachXBT, ilk olarak Kasım 2023’te Unit42 tarafından tespit edilen bu şemayla bağlantılı toplam kayıpların en az 7,7 milyon dolar olduğunu tespit etti.
🚨 VOW – Konfigürasyon Testlerinde 1,2 Milyon Dolar Kaybedildi
13 Ağustos 2024’te, merkezi olmayan bir indirim kuponu düzenleyicisi olan Vow, bir sözleşme açığı nedeniyle bir istismar yaşadı ve 1,2 milyon dolarlık bir kayıpla sonuçlandı.
VUSD döviz kurunu geçici olarak şişiren bir kur belirleyici işlevin test edilmesi sırasında, bilgisayar korsanları tarafından işletilen bir bot hızla 20 milyon VOW tokenı satın aldı ve bunları Uniswap’ta 452 ETH karşılığında takas etti. Hackerın bu test aşaması için muhtemelen bir tetikleyicisi vardı.
🚨 CONVERGENCE – Denetlenmemiş Akıllı Kontrat Sözleşmesi Hacklendi
ConvergenceFi, yield farming projesindeki bir kod açığı nedeniyle 210.000 $ karşılığında hacklendi.
Bir saldırgan, tahsis edilen 58,7 milyon tokenın tamamını boşaltmak için akıllı sözleşmedeki bir doğrulama sorunundan yararlandı. Bu tokenlar 210.000 $ karşılığında takas edildi ve Tornado Cash aracılığıyla aklandı. ConvergenceFi, denetlenmesine rağmen kodda gözden geçirilmemiş değişiklikler yapmıştı.
Borsalarda Güvenlik Sorunu Neden Çözümlenemiyor?
Sadece birkaç hafta önce, akıllı sözleşme uygulamalarının altta yatan bir zincir sorunundan etkilendiği ASTRO (Astroport) gibi çeşitli uygulamaların token sahipleri için büyük kayıplara neden olan yakın tarihli bir Terra IBC giriş saldırısının ardından, her vaka çalışmasının sert hatırlatıcıları olarak hizmet veren gerçek dünyadaki saldırılarına atıfta bulunarak, geliştiricilerın akıllı sözleşme dağıtımı için bir zincir seçerken nelere dikkat etmeleri gerektiğini titizlikle analiz etmelidir.
Riskleri anlamak ve güvenliğine ve uzun vadeli istikrarına katkıda bulunan dengeleri tartmak için her potansiyel zincir üzerinde uygun durum tespiti yapmanın çok önemli olduğuna inanıyorum. Bu özellikler yalnızca uygulamanızın güvenilirliğini etkilemekle kalmaz, aynı zamanda kullanıcıların güvenini, yatırımcıların güvenini de etkileyebilir ve potansiyel yasal ve düzenleyici uyumluluk gereksinimlerini beraberinde getirebilir.
Ağ üzerinde bir zincir yapılandırırken göz önünde bulundurulması gereken bazı önemli araştırma konuları şunlardır:
Temelleri Kontrol Edin: Ağ Büyüklüğü ve Yerelleşme
Yerelleşmenin birincil güvenlik yararı, tek başarısızlık noktalarına karşı direncidir. Son derece merkezi olmayan bir ağda, tüm sistemi yıkmak için kolayca tehlikeye atılabilecek merkezi bir otorite noktası yoktur. Birçok düğüme güç ve veri dağıtımı, kötü niyetli aktörlerin ağı manipüle etmesini son derece zorlaştırıyor.
Bununla birlikte, modern zincirlerin çoğu bir dereceye kadar merkeziyetsizdir ve güvenliği dengelemek için marjinal takaslar yapar. Bu azemi merkeziyet derecesi, farklı blok zinciri ağları arasında büyük farklılıklar gösterebilir ve bu marjinal varyasyonun akıllı sözleşme güvenliği için derin etkileri vardır.
Doğrulayıcı Boyutu ve Çeşitliliği: Doğrulayıcıların bol olduğundan ve gruplar arasında çeşitlendirilmiş olduğundan emin olun. Birçok farklı varlık tarafından kontrol edilen daha fazla doğrulayıcı düğüm, ağı saldırılara karşı daha dirençli hale getirir.
Örnek Vaka: Ronin Bridge Hack (2022): Popüler Axie Infinity oyununa güç veren Ronin ağı, 600 milyon doların üzerinde kayıpla sonuçlanan büyük bir hack yaşadı. Saldırı mümkündü çünkü ağ, 5’i ele geçirilmiş olan yalnızca 9 doğrulayıcı düğüme dayanıyordu.
Zaten düşük olan toplam doğrulayıcı sayısının yanı sıra, 4’ünün aynı kuruluş tarafından kontrol edildiğini not etmek önemlidir -(Sky Mavis ve geri kalanının Axie DAO ve diğer taraflar tarafından) 2021’in sonlarında Sky Mavis, artan ağ yükünü yönetmeye yardımcı olmak için Axie DAO’dan doğrulayıcılarını kullanmak için geçici yetki talep etti. Bu düzenleme yapıldıktan sonra hiçbir zaman iptal edilmedi ve Sky Mavis, ağdaki doğrulayıcıların çoğuna sahipti.
Saldırgan Sky Mavis sistemlerini ele geçirdikten sonra, Ronin ağ doğrulayıcılarının çoğunun kontrolünü ele geçirebildi ve işlemleri onaylayabildi. Özünde, bir saldırganın tüm ağın kontrolünü ele geçirmek için yalnızca bir hedefi tehlikeye atması gerekiyordu.
İç Çalışmaları Anlayın: Konsensüs, Kriptografi ve Yükseltilebilirlik
Her şeyi seçtiğiniz zincirde tam olarak nasıl çalıştığını bilmenize gerek olmasa da, üzerinde geliştireceğiniz sistemin güvenliğini sağlamanın temeli gerekli olduğu için iyi bir anlayışa sahip olmanız gereken üç temel alan vardır.
Konsensüs mekanizması: Zincirinizin sağlam ve güvenli bir fikir birliği algoritması kullandığından emin olun (Proof of Stake veya türetilmiş sürümleri gibi). Bu, saldırıları önlemeye yardımcı olur ve ağ bütünlüğünü sağlar. Her mekanizmanın güvenlik, azemi merkeziyetçilik ve ölçeklenebilirlik açısından dengeleri vardır. Düğümlerin zincirinizin durumu konusunda nasıl hemfikir olduğunu ve zincirinizin bu ölçeklenebilirlik üçlüsünde nereye indiğini bilmek şarttır.
Kriptografik sağlamlık: Bir blok zincirinin güvenliği büyük ölçüde kriptografik temellerine dayanır. Kullanılan kriptografik algoritmaların gücü uzun vadeli güvenlik için çok önemlidir. Aşağıdaki üç gereksinimin uygulandığını kontrol edin:
Hash Fonksiyonları: Saldırıya dayanıklı ve ön görüntüye dayanıklı olmalıdır.Dijital İmzalar: ECDSA veya EdDSA gibi güçlü kriptografik algoritmalar kullanmalıdır.Anahtar Yönetimi: Güvenli anahtar oluşturma ve depolama uygulamaları uygulanılmalıdır.
Versiyonlu Yükseltilebilir sözleşmeler: Akıllı sözleşmeleri yükseltme yeteneği, geliştiricilerin tamamen yeniden dağıtmadan güvenlik açıklarını düzeltmelerine veya işlevselliği geliştirmelerine olanak tanır. Acil bir yama gerektiğinde yükseltilebilirliğe giden yolunuzu anlamanız gerekir. Ayrıca, zincir yükseltmeleri ve iyileştirmeleri uygulama yeteneğini anlamak son derece önemlidir. Esnekliği, güvenliği ve karmaşıklığı farklı şekilde dengeleyen çeşitli yükseltme mekanizmaları mevcut olsa da, seçim belirli proje gereksinimlerine ve risk toleransına bağlıdır. Bu başlı başına oldukça derin bir yapı kurgulanmasını gerektirir.
Karmaşıklığa Dikkat Edin: Birlikte Çalışabilirlik ve Protokol Bağımlılıkları
Bu vakaya Astroport ve diğer uygulamaları etkileyen Terra olayıyla başladım, çünkü altta yatan birlikte çalışabilir sistemlerle ilişkili gizli tehlikeleri vurgulamak istedim.
Bu özel olayda, akıllı sözleşmelerin kendileri istismar edilmemiş olsa da, altta yatan protokolün bağımlılığındaki bir güvenlik açığı, likidite değeri nedeniyle tokenının teminat hasarının hedefi haline gelmesine neden oldu.
Ne olduğunu anlamak için Astroport bağımlılık zincirine bakalım:
Örnek Vaka: Astroport, Terra da dahil olmak üzere birden fazla blok zincirinde dağıtılan merkezi olmayan bir borsadır. Terra, diğer uyumlu blok zincirleriyle birlikte çalışabilirliği sağlamak için Blok Zinciri İletişimi (IBC) protokolünü kullanır. Bu birlikte çalışabilirliğin bir parçası olarak, IBC protokolü, hedef zincirde bir IBC aktarımı tamamlandıktan sonra kaynak zincirde geri aramaları yürütmek için bir geliştirme yeteneği sağlayan ibc-hooks adlı üçüncü taraf bir modülden yararlanır.
Kontrolün Kim/Ne Olduğunu Bilin: Chain Governance Model
Ağın kendisi düzgün bir şekilde dağıtılmış ve güvence altına alınmış olsa bile, yönetişim modeli mevcut koruma mekanizmalarını geçersiz kılabilir.
Zaman içinde sürekli değişen kriptografi ortamı ve potansiyel saldırı vektörleri ile tüm sistemlerin güncellemeleri ve iyileştirmeleri yaymanın bir yolu olmalıdır. Etkili yönetişim, yeni keşfedilen güvenlik açıklarına zamanında yanıtlar, gelişmiş güvenlik önlemlerinin uygulanması ve ölçeklenebilirlik sağlar. Dahası, yönetişim, çatışmaların nasıl çözüleceğini ve topluluğun dış tehditlere veya iç anlaşmazlıklara nasıl tepki vereceğini belirler.
Bunun diğer tarafı, yönetişimin kendisinin, protokolün yönünü manipüle etmeye çalışan düşmanlar için bir hedef haline gelebilmesi ve yönetişim sürecinin güvenliğini çok önemli bir husus haline getirmesidir. Bu nedenle, belirli bir zincirin yönetişim modelinin uygun kontrol ve denge mekanizmalarının uygulanmasıyla adil, merkezi olmayan ve şeffaf olmasını sağlamak çok önemlidir.
Mimaride aşağıdaki özelliklerin mevcut olması çok önemlidir:
Önemli değişiklikler için birden fazla onay katmanıPaydaşlar arasında oy haklarının geniş dağılımıÖnemli değişikliklerden önce zorunlu bekleme süreleriKamuya açık katılım sonuçlarıyla karar verme sürecinde şeffaflıkOy verme gücünün yoğunlaşmasını önleme mekanizmaları (yani ikinci dereceden oylama)Anlaşmazlık çözüm sürecini netleştirmekYönetişim modelinin kendisini yükseltme yoluKullanıcıların etkinliği, katılımı ve duyarlılığı
Örnek Vaka: Tornado Cash Yaptırımları ve Ethereum’un Sansür Direnci. Ağustos 2022’de ABD Hazine, popüler bir Ethereum karıştırıcısı olan Tornado Cash’i yaptırıma uydu. Doğrudan bir protokol yönetişim kararı olmasa da, bu dış eylem Ethereum doğrulayıcılarının önemli bir kısmının düzenlemelere uymak için Tornado Cash işlemlerini sansürlemeyi seçmesine neden oldu. Şubat 2023’e kadar, blokların %78’inden fazlası OFAC uyumlu MEV-Boost röleleri tarafından inşa ediliyordu ve bu da potansiyel olarak ölçekte işlem sansürüne izin veriyordu. Bu durum, dış baskıların ve doğrulayıcı kararların, blok zincirinin güvenlik ilkelerini baltalayarak ağ tarafsızlığının azalmasına ve blok üretiminin potansiyel merkezileşmesine nasıl yol açabileceğini vurguladı.
Güvenlik Hijyenini Doğrulamak
Hiçbir sistem mükemmel güvenlik sunmaz, evet. Fakat yetkin kişiler sunar. Herhangi bir protokolle, yeni özelliklerin tanıtılması sürekli bir versiyon inceleme süreci gerektirecektir.
Zincirinizin güvenlik yaşam döngüsünün aşağıdakileri içerdiğinden emin olmanız kritiktir:
Yetkili Kurum/Kişilerle Tutarlı Güvenlik Denetimleri: Blockchain protokolleri, birden fazla önde gelen firmayla sürekli güvenlik denetimlerinden geçmeli ve rapor bulgularını yayınlamalıdır. Büyük ölçüde değiştiği için denetim firmalarının kalitesine dikkat edin.Hata Ödül (Bug Bounty) Programlarının Varlığı: Topluluğu güvenlik açıklarını bulmaya ve bildirmeye teşvik eden aktif hata ödül programlarının varlığını arayın.Resmi Doğrulama Desteği: Akıllı sözleşmelerin resmi doğrulamasını destekleyen platformlar, kodlarının doğruluğunu matematiksel olarak kanıtlayarak hata ve güvenlik açığı riskini azaltabilir.Denetim Araçları: Yerleşik veya yaygın olarak kullanılabilen denetim araçlarına sahip blok zincirleri, olgunluğa işaret eder ve geliştiricilerin dağıtımdan önce kodlarını güvenlik açıkları açısından kontrol etmelerine yardımcı olur.Olayların Sicili: Belki de en önemlisi, bu zincirdeki olayların sıklığını araştırın. Karşılaşılan kesinti miktarına ve sıklığına ve neyin etkilendiğine bakın. Bu, bu zincirden bekleyebileceğiniz istikrar seviyesinin bir önizlemesi olarak hizmet edebilir.Devre kesiciler: Hataların veya kötü niyetli saldırıların istenmeyen sonuçlarını önlemek için entegre edilebilen yaygın bir güvenlik mekanizması devre kesicidir. Geliştiriciler, bir devre kesici uygulayarak, öngörülemeyen durumlar durumunda akıllı sözleşme yürütmenin durdurulabileceğini ve daha fazla hasar veya sömürüyü önleyebileceğini sağlayabilirler. Bu genellikle iyi bir uygulama olarak kabul edilirken, devre kesiciler bir merkezileşme endişesi oluşturur ve örneğin protokolün belirtecini kısa devre yaparken bir durdurmayı tetikleyerek kötü niyetli bir taraf tarafından potansiyel olarak sömürülebilir. Sonuç olarak, uygulanan belirli işlem kesici maddelerinin bu endişeleri gidermesi ve doğal piyasa dinamiklerini yanlışlıkla bozmaması sağlanmalıdır.Hız limitleri: Akıllı sözleşmelerde bir başka iyi güvenlik uygulaması da hız limitlerinin varlığıdır. Bunlar, yüksek değerli işlevlere erişimi zamanla sınırlamak, yönetişim sözleşmelerinde oylama sıklığını kısıtlamak veya zaman içindeki token transferlerinin sıklığını ve miktarını sınırlamak için kullanılabilir.
Platform Olgunluğunu Değerlendirin
Bazı yeni protokoller oyun değiştiren bir fikir birliği mekanizmasını sergileyebilir veya yeni bir yönetişim modeli sergileyebilirken, diğer daha az heyecan verici zincirlerin kararlılığı ve geniş kabulü sonunda daha fazlasını sayabilir.
Parlak yeni özellikler, zaman, yük ve olay eksikliği nedeniyle kararlı olduğu kanıtlanana kadar her zaman güvenli algılanmaz. Hazır SPK lisanslı kabul gören platformlar belirlenmişken ve sayıları bu denli fazlayken, bir platform seçerken, aşağıdaki olgunluk seviyelerine dikkat edin:
Olaysız çalışma süresi ve güvenilirlik (genellikle gösterge tablosu istatistiklerinde bulunur)Günlük aktif kullanıcı ve işlem sayısıAktif geliştirici sayısıDağıtılan akıllı sözleşmelerin kalitesi ve sayısıBu platformda girişim sermayesi finansmanıAna akım şirketler ve kurumlar tarafından benimsenmesi
Özet’te, güvenlik ve istikrarın genellikle performans ve özelliklerle takasları içerdiğini unutmayın. Platformunuzu titizlikle seçtikten sonra, uygulamanın sizin için güvenli kalmasını sağlamak için her zaman en son gelişmelerden haberdar olun.