2022 yılı Merkezi Olmayan Finans alanındaki önemli güvenlik olaylarının gözden geçirilmesi ve analizi

2022 yılında blockchain güvenlik olayları sıkça meydana geldi, istatistiklere göre yıl boyunca 300'den fazla olay gerçekleşti ve toplamda 4.3 milyar dolara kadar para kaybedildi. Bu makalede 1 milyar dolardan fazla kaybı olan ve oldukça temsilci nitelik taşıyan 8 tipik örnek analiz edilecektir.

Ronin Köprüsü

2022 yılının Mart ayında, NFT oyunu Axie Infinity'nin yan zinciri Ronin Network siber saldırıya uğradı, 173.6 bin ETH ve 25.5 milyon dolar kaybedildi, toplam değer yaklaşık 625 milyon dolar. Yapılan araştırmalara göre, Kuzey Koreli hacker grubu Lazarus bu olayla bağlantılı.

Saldırganlar sosyal mühendislik yöntemleriyle Sky Mavis şirketinin çalışanlarını kötü amaçlı yazılım içeren sahte kabul mektubu indirmeye kandırarak sisteme sızdı ve 5 doğrulama düğümünü kontrol altına aldı, nihayetinde saldırıyı tamamladı.

Bu olay, proje sahiplerinin çalışan güvenliği bilinci ve iç güvenlik sistemleri konusundaki eksikliklerini ortaya çıkardı. Aynı zamanda, geleneksel hacker gruplarının saldırı hedeflerini giderek daha fazla blockchain projelerine yönlendirdiğini de gösteriyor.

Wormhole

Wormhole çapraz zincir köprüsü saldırıya uğradı, yaklaşık 120.000 ETH kaybedildi. Sorun, Solana tarafındaki ana sözleşmenin imza doğrulama kodundaki bir hatadan kaynaklanıyor ve bu, saldırganların "gözetmen" mesajlarını taklit ederek paketlenmiş ETH basmalarına izin veriyor.

Bu açık, bazı eski fonksiyonların kullanılmasından kaynaklanmaktadır. Geliştiricilerin benzer sorunlardan kaçınmak için her zaman en son sürüm programlama dilini ve araçlarını kullanmaları önerilir.

Nomad Bridge

Köprüler arası protokol Nomad saldırıya uğradı, kayıplar 1.9 milyar doları aştı. Sebebi, başlangıçta güvenilir kök yanlış ayarlandığı ve eski kökün geçersiz kılınmadığı, bu da saldırganların istedikleri mesajı oluşturarak fonları çekmelerine olanak tanıdı.

Hackerlar, bu açığı kullanarak yapılandırılmış işlem verilerini tekrar tekrar gönderdi ve neredeyse tüm kilitli fonları boşalttı. Yaklaşık 41 adres, MEV robotları, diğer hackerlar ve bazı beyaz şapkalı hackerlar da dahil olmak üzere 152 milyon dolar kazandı.

Bu örnek, akıllı sözleşme başlatma ayarlarının önemini ve kamu blok zinciri ekosistemindeki çeşitli katılımcıların karmaşıklığını vurgulamaktadır.

Beanstalk

Algoritmik stabilcoin projesi Beanstalk Farms, flash loan saldırısına uğradı ve yaklaşık 182 milyon dolar kaybetti. Saldırgan 80 milyon dolardan fazla kazanç elde etti.

Saldırı, proje yönetim mekanizmasının zayıf bir yönünü kullandı - öneri oylaması ile uygulama arasında hiçbir zaman aralığı yoktu. Saldırgan, flaş krediler yoluyla büyük miktarda oy hakkı elde etti ve kötü niyetli bir öneri ile doğrudan arbitraj işlemi gerçekleştirdi.

Bu olay, tamamen merkeziyetsiz yönetim mekanizmalarının potansiyel risklerini ortaya koymaktadır; öneri inceleme, oy ağırlıkları, zaman kilidi gibi unsurlar dikkatlice tasarlanmalıdır.

Wintermute

Piyasa yapıcısı Wintermute, güvenlik açığı bulunan adres oluşturma aracı Profanity'i kullanması nedeniyle özel anahtarının kırılması sonucu yaklaşık 160 milyon dolar kaybetti.

Bu vaka, açık kaynak araçlarını kullanırken dikkatli olmamız gerektiğini ve bunların yeterli bir güvenlik değerlendirmesine tabi tutulmasının en iyisi olduğunu gösteriyor. Aynı zamanda, "güzel numara" adreslerini aramanın güvenlik riskleri taşıyabileceğini de yansıtıyor.

Harmony Bridge

Harmony'nin çapraz zincir köprüsü Horizon saldırıya uğradı, kayıp 100 milyon doları aştı. Analizlere göre, şüpheli Kuzey Koreli hacker grubu Lazarus Group'un işi.

Saldırı yöntemi Ronin Bridge olayıyla benzerlik gösteriyor ve bir kez daha kripto para sektörüne yönelik ulusal düzeydeki siber tehditlerin giderek büyüdüğünü vurguluyor.

Ankr

Ankr, içerdeki kötü niyetli kişilerin saldırısına uğradı ve 100 trilyon aBNBc'nin kaynağı belirsiz bir şekilde basılmasına neden oldu. Saldırgan, 5 milyon USDC nakit çekti ve ayrıca arbitrajcılar bu durumdan 17 milyon dolarlık kazanç elde etti.

Bu olay, projenin yetki yönetimi, özel anahtar saklama gibi alanlardaki ciddi eksikliklerini ortaya çıkardı ve iç güvenlik sisteminin güçlendirilmesinin önemini vurguladı.

Mango

Merkezi Olmayan Ticaret Platformu Mango Markets, piyasa manipülasyonu saldırısına uğradı ve yaklaşık 1,15 milyar dolar kaybetti. Saldırganlar, platformun sürekli sözleşmelerini ve oracle'larını kullanarak, küçük piyasa değeri olan MNGO token'ının fiyatını yükselterek kar elde ettiler.

Bu vaka, DeFi projelerinin iş modelini tasarlarken çeşitli uç durumları, özellikle küçük piyasa değerine sahip tokenlerin risk kontrolünü dikkate almaları gerektiğini göstermektedir.

Genel olarak, 2022 yılında Merkezi Olmayan Finans güvenlik olayları sıkça meydana geldi ve akıllı sözleşmeler, çapraz zincir köprüleri, yönetim mekanizmaları gibi birçok alandaki güvenlik açıklarını ortaya çıkardı. Proje ekipleri güvenlik bilincini artırmalı ve risk kontrol sistemlerini geliştirmelidir; kullanıcılar ise dikkatli katılmalı ve riskleri tam olarak anlamalıdır.