Cross chain köprüleri saldırı olayı incelemesi: On en önemli vaka yaklaşık 2 milyar dolar kayıp içeriyor
Blok zinciri teknolojisinin gelişimi ile birlikte, cross-chain köprüleri farklı kamu zinciri ekosistemlerini bağlayan önemli bir altyapı haline geldi. Ancak, büyük miktarda fon taşıması ve sık sık cross-chain işlemler gerçekleştirmesi nedeniyle, cross-chain köprüleri de hacker saldırılarının popüler hedefi haline geldi. Bu makalede, son yıllarda meydana gelen on önemli cross-chain köprü saldırı olayını gözden geçirecek ve bunlardan alınan dersleri ve çıkarımları özetleyeceğiz.
ChainSwap: İki kez saldırıya uğradı, yaklaşık 8.8 milyon dolar kaybetti
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez siber saldırıya uğradı. İlk saldırıda yaklaşık 800.000 dolar kaybedildi, ikinci saldırı ise daha ciddi olup 8.000.000 dolara kadar zarar verdi ve 20'den fazla ChainSwap kullanarak cross-chain yapan projeyi etkiledi.
Araştırmalar, saldırının protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması nedeniyle kaynaklandığını, bu durumun saldırganların kendi ürettikleri imzaları kullanarak işlem yapmalarına olanak tanıdığını göstermektedir. Ana kaybın yönetim token'ları olduğu için, ChainSwap ve etkilenen birkaç proje, sahiplerin ve likidite sağlayıcılarının zararlarını tazmin etmek için anlık görüntü almayı ve token'ları yeniden dağıtmayı seçmiştir.
Poly Network: 6.1 milyar dolarlık varlık çalındıktan sonra tamamen geri alındı
Ağustos 2021'de, cross-chain互操作协议 Poly Network, o zamanlar en büyük ölçekli DeFi saldırısına uğradı ve Ethereum, Binance Akıllı Zinciri ve Polygon üç ağda toplamda yaklaşık 6.1 milyar dolar varlık kaybı yaşandı.
Saldırının ana nedeni, sözleşme yetki yönetim mantığında bir açık olmasıdır. Saldırgan, hedef zincirin doğrulayıcı adresini başarıyla değiştirdi ve bu sayede varlık transferi işlemleri için imza doğrulaması yapabildi. Saldırı ölçeği çok büyük olmasına rağmen, sonuçta saldırgan tüm fonları geri iade etti, Poly Network de onu "beyaz şapkalı" hacker olarak adlandırdı ve onu baş güvenlik danışmanı olarak işe alma teklifinde bulundu.
Multichain: 6 milyon dolar değerinde varlık çalındı, neredeyse %50'si geri alındı
2022 yılının Ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı giderilmiş olsa da, yaklaşık 6 milyon dolarlık WETH ve AVAX çalındı.
Güvenlik analizi, saldırının Multichain'in kullanıcı girişindeki tokenların geçerliliğini doğrularken bir sorun yaşamasından kaynaklandığını göstermektedir; çünkü tüm alt tokenların permit fonksiyonunu uygulamadığı göz önünde bulundurulmamıştır. Ekip, çalınan fonların yaklaşık %50'sini başarıyla geri aldı ve bir tazminat planı önerdi, ancak yetkilerini zamanında iptal etmeyen kullanıcıların kayıplarından artık sorumlu değildir.
QBridge: 80 milyon $ kayıp, yalnızca %2 tazminat
2022 yılının Ocak ayı sonunda, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırganlar, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini yeniden kontrol etmemesi açığını kullanarak, BSC üzerinde boş yere büyük miktarda xETH tokeni ürettiler ve bu tokenleri kullanarak Qubit'ten diğer varlıkları ödünç aldılar.
Şu anda, Qubit'in kullanım oranı önemli ölçüde düşmüştür, resmi verilere göre hala çalınan fonların %98'i geri ödenmemiştir.
Meter.io: 4.4 milyon dolar zarar, gelecekteki kazançlarla tazmin etme sözü
2022 Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba yol açtı. Resmi kaynaklar, sorunun temel kod üzerindeki "yanlış güven varsayımı" nedeniyle olduğunu belirtti ve bu durumun hackerların BNB ve ETH transferlerini taklit etmesine olanak tanıdığını ifade etti.
Meter ekibi başlangıçta MTRG tokeni ile zararları tazmin etmeyi planladı, ancak topluluk oylaması ile yeni PASS tokeninin çıkarılmasına karar verildi ve gelecekteki kazançlarla PASS tokenlerini geri alacaklarına dair taahhütte bulundular. Ancak, şu anda herhangi bir geri alma işlemi yapılmamıştır.
Ronin: 620 milyon dolar çalındı, tam tazminat ödendi
2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin zinciri büyük bir saldırıya uğradı ve kayıplar 620 milyon dolara kadar ulaştı. İlginç bir şekilde, saldırı 23 Mart'ta gerçekleşti, ancak 6 gün sonra fark edildi.
Araştırmalar, saldırının titizlikle planlanmış bir sosyal mühendislik saldırısından kaynaklandığını göstermektedir. Saldırganlar, sahte bir şirket işe alımı yoluyla Sky Mavis çalışanlarının güvenini başarıyla kazanmış ve nihayetinde Ronin ağındaki birden fazla doğrulayıcı düğümünü kontrol altına almıştır.
Çalınan fonlar geri alınamasa da, Sky Mavis kullanıcı kayıplarını tazmin etmek için yeni bir finansman turunda 150 milyon dolar topladı. Dikkate değer bir durum, tazminat süresince ETH fiyatının önemli ölçüde düşmesi nedeniyle, gerçek tazminat değerinin çalındığı zamanki varlık değerinin çok altında olmasıdır.
Wormhole: 3.26 milyon dolarlık kayıp, zamanında tazminat alındı
2022'nin Şubat ayının başında, cross-chain etkileşim protokolü Wormhole saldırıya uğradı ve yaklaşık 120,000 ETH kaybedildi, değeri 3.26 milyar dolar. Saldırganlar, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, çok sayıda whETH basmak için "gözetmen" mesajını başarıyla sahteledi.
Neyse ki Jump Crypto, Wormhole'a 120,000 ETH hızla enjekte etti, tüm kayıpları telafi etti ve Wormhole'un hızlı bir şekilde operasyonlarına geri dönmesini sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi
2022 Haziran'ında, Oasis ekosistem DEX ValleySwap'da USDT ciddi bir değer kaybı yaşadı. Sorunun kaynağı, kullanılan cross-chain köprüsü EVODeFi'nin kaynak zincirindeki likidite eksikliğidir.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor. Üzücü bir şekilde, ilgili taraflar herhangi bir etkili çözüm sunmadı. ValleySwap ve EVODeFi'nin resmi sosyal medya hesapları da olaydan sonra güncellemeleri durdurdu, bu aslında proje tarafının vazgeçmesi anlamına geliyor.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı hala hazırlanıyor.
2022 Haziran'ında, Harmony'nin resmi cross-chain köprüleri Horizon saldırıya uğradı ve yaklaşık 100 milyon dolarlık bir kayba neden oldu. Harmony kurucusu, saldırının muhtemelen özel anahtar sızıntısından kaynaklandığını kabul etti.
Harmony, kullanıcıların zararlarını telafi etmek için 3 yıl içinde token arzını artırmayı önerdi, ancak toplulukta oybirliği sağlanamadı. Şu anda, ekip tazminat planını yeniden oluşturuyor.
Nomad: 1.9 milyar dolar çalındı, bazı fonların geri kazanılması umuluyor
Ağustos 2022'de, Nomad cross-chain köprüleri büyük bir güvenlik kazasıyla karşılaştı ve 190 milyon dolar fon kaybı yaşandı. Analizler, sorunun bir sözleşme güncellemesindeki başlangıç hatasından kaynaklandığını ve bu hatanın herhangi birinin köprüden kolayca fon çekmesine olanak tanıdığını gösteriyor.
Saldırı, toplam miktarın %38'ini oluşturan ENS adresleri de dahil olmak üzere 1251 adresi kapsıyor. Proje ekibi kesin bir tazminat planı sunmamış olsa da, bazı beyaz şapkalı hackerların fonları geri vermeye istekli oldukları belirtiliyor, bu da sorunun çözümü için bir umut ışığı sağlıyor.
Özet ve Çıkarımlar
Bu cross chain köprüleri saldırı olaylarını gözden geçirdiğimizde, aşağıdaki noktaları çıkarabiliriz:
Cross chain köprüleri yüksek risk alanlarıdır, tanınmış projelerde bile güvenlik açıkları olabilir.
Güçlü bir geliştirme ekibi ve yeterli sermaye desteği, kazalardan sonra müdahale etmek için hayati öneme sahiptir. Poly Network, Ronin ve Wormhole gibi projeler, önemli kayıplar yaşadıktan sonra varlıklarını hızla geri alabilmekte veya tam tazminat ödemesi yapabilmektedir.
Gerçek zamanlı izleme ve hızlı yanıt mekanizmaları çok önemlidir. Hop Protocol ve StarGate gibi bazı projeler, şüpheli faaliyetleri zamanında tespit edip işleyerek potansiyel saldırıları başarıyla engelledi.
Kullanıcıların cross-chain köprüleri seçerken dikkatli olmaları ve güçlü bir ekip tarafından geliştirilen projeleri öncelikli olarak değerlendirmeleri, fon riskini azaltmak için önemlidir.
Düzenli güvenlik denetimleri ve açık ödül programları, potansiyel sorunların tespit edilmesi ve düzeltilmesi açısından son derece önemlidir.
Cross chain köprüleri geliştirme ekibi, geçmişteki saldırı vakalarını sürekli olarak öğrenmeli, güvenlik önlemlerini geliştirmeli, özellikle de sözleşme güncellemeleri ve yetki yönetimi konusunda.
Sonuç olarak, artan cross-chain talebi ile birlikte, Cross chain köprüleri güvenliği blockchain endüstrisinin önemli bir konusu olmaya devam edecektir. Geliştiriciler, kullanıcılar ve tüm ekosistem, daha güvenli ve güvenilir bir cross-chain altyapısı inşa etmek için birlikte çalışmalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
En İyi 10 Cross chain köprüleri Saldırı İncelemesi: Yaklaşık 2 Milyar Dolar Kayıp Arasındaki Dersler ve İpuçları
Cross chain köprüleri saldırı olayı incelemesi: On en önemli vaka yaklaşık 2 milyar dolar kayıp içeriyor
Blok zinciri teknolojisinin gelişimi ile birlikte, cross-chain köprüleri farklı kamu zinciri ekosistemlerini bağlayan önemli bir altyapı haline geldi. Ancak, büyük miktarda fon taşıması ve sık sık cross-chain işlemler gerçekleştirmesi nedeniyle, cross-chain köprüleri de hacker saldırılarının popüler hedefi haline geldi. Bu makalede, son yıllarda meydana gelen on önemli cross-chain köprü saldırı olayını gözden geçirecek ve bunlardan alınan dersleri ve çıkarımları özetleyeceğiz.
ChainSwap: İki kez saldırıya uğradı, yaklaşık 8.8 milyon dolar kaybetti
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez siber saldırıya uğradı. İlk saldırıda yaklaşık 800.000 dolar kaybedildi, ikinci saldırı ise daha ciddi olup 8.000.000 dolara kadar zarar verdi ve 20'den fazla ChainSwap kullanarak cross-chain yapan projeyi etkiledi.
Araştırmalar, saldırının protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması nedeniyle kaynaklandığını, bu durumun saldırganların kendi ürettikleri imzaları kullanarak işlem yapmalarına olanak tanıdığını göstermektedir. Ana kaybın yönetim token'ları olduğu için, ChainSwap ve etkilenen birkaç proje, sahiplerin ve likidite sağlayıcılarının zararlarını tazmin etmek için anlık görüntü almayı ve token'ları yeniden dağıtmayı seçmiştir.
Poly Network: 6.1 milyar dolarlık varlık çalındıktan sonra tamamen geri alındı
Ağustos 2021'de, cross-chain互操作协议 Poly Network, o zamanlar en büyük ölçekli DeFi saldırısına uğradı ve Ethereum, Binance Akıllı Zinciri ve Polygon üç ağda toplamda yaklaşık 6.1 milyar dolar varlık kaybı yaşandı.
Saldırının ana nedeni, sözleşme yetki yönetim mantığında bir açık olmasıdır. Saldırgan, hedef zincirin doğrulayıcı adresini başarıyla değiştirdi ve bu sayede varlık transferi işlemleri için imza doğrulaması yapabildi. Saldırı ölçeği çok büyük olmasına rağmen, sonuçta saldırgan tüm fonları geri iade etti, Poly Network de onu "beyaz şapkalı" hacker olarak adlandırdı ve onu baş güvenlik danışmanı olarak işe alma teklifinde bulundu.
Multichain: 6 milyon dolar değerinde varlık çalındı, neredeyse %50'si geri alındı
2022 yılının Ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı giderilmiş olsa da, yaklaşık 6 milyon dolarlık WETH ve AVAX çalındı.
Güvenlik analizi, saldırının Multichain'in kullanıcı girişindeki tokenların geçerliliğini doğrularken bir sorun yaşamasından kaynaklandığını göstermektedir; çünkü tüm alt tokenların permit fonksiyonunu uygulamadığı göz önünde bulundurulmamıştır. Ekip, çalınan fonların yaklaşık %50'sini başarıyla geri aldı ve bir tazminat planı önerdi, ancak yetkilerini zamanında iptal etmeyen kullanıcıların kayıplarından artık sorumlu değildir.
QBridge: 80 milyon $ kayıp, yalnızca %2 tazminat
2022 yılının Ocak ayı sonunda, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırganlar, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini yeniden kontrol etmemesi açığını kullanarak, BSC üzerinde boş yere büyük miktarda xETH tokeni ürettiler ve bu tokenleri kullanarak Qubit'ten diğer varlıkları ödünç aldılar.
Şu anda, Qubit'in kullanım oranı önemli ölçüde düşmüştür, resmi verilere göre hala çalınan fonların %98'i geri ödenmemiştir.
Meter.io: 4.4 milyon dolar zarar, gelecekteki kazançlarla tazmin etme sözü
2022 Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba yol açtı. Resmi kaynaklar, sorunun temel kod üzerindeki "yanlış güven varsayımı" nedeniyle olduğunu belirtti ve bu durumun hackerların BNB ve ETH transferlerini taklit etmesine olanak tanıdığını ifade etti.
Meter ekibi başlangıçta MTRG tokeni ile zararları tazmin etmeyi planladı, ancak topluluk oylaması ile yeni PASS tokeninin çıkarılmasına karar verildi ve gelecekteki kazançlarla PASS tokenlerini geri alacaklarına dair taahhütte bulundular. Ancak, şu anda herhangi bir geri alma işlemi yapılmamıştır.
Ronin: 620 milyon dolar çalındı, tam tazminat ödendi
2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin zinciri büyük bir saldırıya uğradı ve kayıplar 620 milyon dolara kadar ulaştı. İlginç bir şekilde, saldırı 23 Mart'ta gerçekleşti, ancak 6 gün sonra fark edildi.
Araştırmalar, saldırının titizlikle planlanmış bir sosyal mühendislik saldırısından kaynaklandığını göstermektedir. Saldırganlar, sahte bir şirket işe alımı yoluyla Sky Mavis çalışanlarının güvenini başarıyla kazanmış ve nihayetinde Ronin ağındaki birden fazla doğrulayıcı düğümünü kontrol altına almıştır.
Çalınan fonlar geri alınamasa da, Sky Mavis kullanıcı kayıplarını tazmin etmek için yeni bir finansman turunda 150 milyon dolar topladı. Dikkate değer bir durum, tazminat süresince ETH fiyatının önemli ölçüde düşmesi nedeniyle, gerçek tazminat değerinin çalındığı zamanki varlık değerinin çok altında olmasıdır.
Wormhole: 3.26 milyon dolarlık kayıp, zamanında tazminat alındı
2022'nin Şubat ayının başında, cross-chain etkileşim protokolü Wormhole saldırıya uğradı ve yaklaşık 120,000 ETH kaybedildi, değeri 3.26 milyar dolar. Saldırganlar, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, çok sayıda whETH basmak için "gözetmen" mesajını başarıyla sahteledi.
Neyse ki Jump Crypto, Wormhole'a 120,000 ETH hızla enjekte etti, tüm kayıpları telafi etti ve Wormhole'un hızlı bir şekilde operasyonlarına geri dönmesini sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi
2022 Haziran'ında, Oasis ekosistem DEX ValleySwap'da USDT ciddi bir değer kaybı yaşadı. Sorunun kaynağı, kullanılan cross-chain köprüsü EVODeFi'nin kaynak zincirindeki likidite eksikliğidir.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor. Üzücü bir şekilde, ilgili taraflar herhangi bir etkili çözüm sunmadı. ValleySwap ve EVODeFi'nin resmi sosyal medya hesapları da olaydan sonra güncellemeleri durdurdu, bu aslında proje tarafının vazgeçmesi anlamına geliyor.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı hala hazırlanıyor.
2022 Haziran'ında, Harmony'nin resmi cross-chain köprüleri Horizon saldırıya uğradı ve yaklaşık 100 milyon dolarlık bir kayba neden oldu. Harmony kurucusu, saldırının muhtemelen özel anahtar sızıntısından kaynaklandığını kabul etti.
Harmony, kullanıcıların zararlarını telafi etmek için 3 yıl içinde token arzını artırmayı önerdi, ancak toplulukta oybirliği sağlanamadı. Şu anda, ekip tazminat planını yeniden oluşturuyor.
Nomad: 1.9 milyar dolar çalındı, bazı fonların geri kazanılması umuluyor
Ağustos 2022'de, Nomad cross-chain köprüleri büyük bir güvenlik kazasıyla karşılaştı ve 190 milyon dolar fon kaybı yaşandı. Analizler, sorunun bir sözleşme güncellemesindeki başlangıç hatasından kaynaklandığını ve bu hatanın herhangi birinin köprüden kolayca fon çekmesine olanak tanıdığını gösteriyor.
Saldırı, toplam miktarın %38'ini oluşturan ENS adresleri de dahil olmak üzere 1251 adresi kapsıyor. Proje ekibi kesin bir tazminat planı sunmamış olsa da, bazı beyaz şapkalı hackerların fonları geri vermeye istekli oldukları belirtiliyor, bu da sorunun çözümü için bir umut ışığı sağlıyor.
Özet ve Çıkarımlar
Bu cross chain köprüleri saldırı olaylarını gözden geçirdiğimizde, aşağıdaki noktaları çıkarabiliriz:
Cross chain köprüleri yüksek risk alanlarıdır, tanınmış projelerde bile güvenlik açıkları olabilir.
Güçlü bir geliştirme ekibi ve yeterli sermaye desteği, kazalardan sonra müdahale etmek için hayati öneme sahiptir. Poly Network, Ronin ve Wormhole gibi projeler, önemli kayıplar yaşadıktan sonra varlıklarını hızla geri alabilmekte veya tam tazminat ödemesi yapabilmektedir.
Gerçek zamanlı izleme ve hızlı yanıt mekanizmaları çok önemlidir. Hop Protocol ve StarGate gibi bazı projeler, şüpheli faaliyetleri zamanında tespit edip işleyerek potansiyel saldırıları başarıyla engelledi.
Kullanıcıların cross-chain köprüleri seçerken dikkatli olmaları ve güçlü bir ekip tarafından geliştirilen projeleri öncelikli olarak değerlendirmeleri, fon riskini azaltmak için önemlidir.
Düzenli güvenlik denetimleri ve açık ödül programları, potansiyel sorunların tespit edilmesi ve düzeltilmesi açısından son derece önemlidir.
Cross chain köprüleri geliştirme ekibi, geçmişteki saldırı vakalarını sürekli olarak öğrenmeli, güvenlik önlemlerini geliştirmeli, özellikle de sözleşme güncellemeleri ve yetki yönetimi konusunda.
Sonuç olarak, artan cross-chain talebi ile birlikte, Cross chain köprüleri güvenliği blockchain endüstrisinin önemli bir konusu olmaya devam edecektir. Geliştiriciler, kullanıcılar ve tüm ekosistem, daha güvenli ve güvenilir bir cross-chain altyapısı inşa etmek için birlikte çalışmalıdır.