Merkezi Olmayan Finans güvenlik incelemesi: 2022 yılı önemli olaylar analizi ve dersler

2022 yılında blok zinciri güvenlik olayları sıkça meydana geldi, istatistiklere göre toplam 300'den fazla olay gerçekleşti ve bunların toplam tutarı 4.3 milyar dolara ulaştı. Bu makalede, bu olaylardan sekiz tipik vaka ayrıntılı olarak analiz edilecektir; bu vakaların kayıpları genellikle 100 milyon doları aşmakta olup, önemli dersler içermektedir.

Ronin Bridge olayı

23 Mart 2022'de, Axie Infinity yan zinciri Ronin Network saldırıya uğradı, 173.600 ETH ve 25.500.000 USD kaybedildi, toplamda yaklaşık 590.000.000 USD. Saldırganların Kuzey Koreli hacker grubu Lazarus olduğu şüphe ediliyor.

Saldırganlar sosyal mühendislik yöntemleriyle Sky Mavis şirketi çalışanlarına ulaştı, kötü amaçlı yazılım yerleştirdikten sonra 5 doğrulama düğümünü kontrol altına aldı ve nihayetinde saldırıyı gerçekleştirdi. Bu, şirket çalışanlarının güvenlik bilincinin zayıf olduğunu ve iç güvenlik sisteminde açıklar bulunduğunu ortaya koydu.

Bu olay, tipik bir APT( yüksek süreklilikte tehdit ) saldırısıdır. Geleneksel hacker grupları ve devlet düzeyindeki güçler, doğrudan ekonomik kazanç elde etmek için blok zinciri projelerine saldırmaya başlamıştır.

Wormhole olayı

Wormhole çapraz zincir köprüsü saldırıya uğradı, yaklaşık 120,000 ETH kaybedildi. Temel sebep, Solana tarafındaki ana sözleşmenin imza doğrulama kodundaki bir hatadan kaynaklanıyor, bu da saldırganların "koruyucu" mesajlarını taklit ederek paketlenmiş ETH basmalarına izin veriyor.

Bu esasen kod seviyesinde bir sorun, bazı kullanımdan kaldırılmış fonksiyonlar kullanılmış. Geliştiricilerin en son sürümü kullanarak güncellemeleri gerekmektedir, benzer sorunların önlenmesi için.

Nomad Bridge olayı

Karmaşık zincir protokolü Nomad köprü akıllı sözleşmesi başlatıldığında güvenilir kök yanlış ayarlandı ve eski kökü geçersiz kılmadan değişiklik yapıldı, bu da saldırganların istedikleri mesajı oluşturarak fonları çekmesine neden oldu, kayıp 1.9 milyar doları aştı.

Bu, tipik bir sözleşme başlatma hatası örneğidir. Bir kez keşfedildiğinde, herhangi biri geçerli işlemleri yeniden oynatarak kâr elde edebilir. Çok sayıda MEV robotu, bu durumu bir "para kapma savaşı" haline getirmek için devreye giriyor.

Açık kaynak kodu şeffaf olsa da, saldırganların açıkları daha kolay bulmasını sağlıyor. Proje ekipleri, kod denetimini güçlendirmeli ve başlangıç gibi kritik aşamaların doğruluğunu sağlamalıdır.

Beanstalk Olayı

Algoritmik stabilcoin projesi Beanstalk, bir flaş kredi saldırısına uğradı ve yaklaşık 182 milyon dolar kaybetti. Ana sebep, öneri oylaması ile yürütme arasında zaman aralığı olmaması, bu da saldırganların kötü niyetli önerileri hemen gerçekleştirmesine olanak tanıdı.

Saldırganlar, öneri hakkı elde etmek için tokenleri önceden satın alır, büyük miktarda oy hakkı elde etmek için ani kredi kullanır ve kötü niyetli önerilerle arbitraj gerçekleştirir. Bu, tamamen merkeziyetsiz yönetişimin risklerini ortaya koymaktadır.

Projeler, benzer riskleri önlemek için öneri inceleme mekanizması, oylama kilitleme süresi, yürütme zaman kilidi gibi önlemler almalıdır.

Wintermute olayı

Piyasa yapıcı Wintermute, açık kaynak araçları kullanarak şık adresler oluşturdu ve bu durum sözleşme sahibinin özel anahtarının kırılmasına yol açarak yaklaşık 160 milyon dolar kayba neden oldu.

Açık kaynaklı araçlar kullanırken potansiyel riskleri dikkatlice değerlendirmek gerekir. Anahtar adresler için daha güvenli bir oluşturma yöntemi kullanılmalı, güvenilir olmayan üçüncü taraf araçların kullanımından kaçınılmalıdır.

Harmony Bridge Olayı

Harmony çapraz zincir köprüsü Horizon saldırıya uğradı, kayıplar 100 milyon doları aştı. Analizlere göre bu saldırının arkasında Kuzey Koreli hacker grubunun olabileceği, saldırı tekniğinin Ronin Bridge ile benzerlik gösterdiği belirtiliyor.

Köprüler, farklı zincirleri bağlayan temel altyapı olarak, her zaman hackerların hedef aldığı önemli bir noktadır. Proje sahipleri güvenlik önlemlerini artırmalı ve saldırı eşiğini yükseltmelidir.

Ankr Olayı

Ankr sözleşmesi sahibi özel anahtarının sızması, hacklerin büyük miktarda token basmasına ve 500,000 USDC nakit çıkarmasına neden oldu. Ardından, arbitrajcılar, oracle gecikmesini kullanarak 17,000,000 dolarlık arbitraj gerçekleştirdi.

Bu, Ankr içindeki güvenlik yönetiminin ciddi sorunlar barındırdığını ortaya koyuyor: Anahtar özel anahtarlar bireyler tarafından kontrol ediliyor, çalışanlar işten ayrıldıktan sonra hala kullanabiliyor. Proje, kapsamlı bir anahtar yönetim sistemi kurmalı ve daha güvenli mekanizmalar, örneğin çok imzalı sistemler kullanmalıdır.

Mango Olayı

Saldırganlar, Mango platformundaki küçük kripto para birimlerinin likidite eksikliğinden faydalanarak fiyatları manipüle edip 115 milyon dolar kazandı. Bu, daha çok bir iş modeli açığıdır, güvenlik açığı değil.

Proje tarafı, çeşitli aşırı senaryoları dikkate almalı ve risk kontrol önlemlerini geliştirmelidir. Kullanıcılar projeye katılırken riski kapsamlı bir şekilde değerlendirmeli, sadece kazancı görüp güvenliği göz ardı etmemelidir.

Sonuç olarak, Web3 ekosisteminin giderek karmaşıklaşmasıyla birlikte güvenlik tehditleri de çeşitlenmektedir. Proje ekipleri sağlam bir güvenlik sistemi kurmalı, kullanıcılar da güvenlik bilincini artırmalı ve sektörün sağlıklı gelişimini birlikte korumalıdır.