Merkezi Olmayan Finans Güvenlik Olayları İncelemesi: 2022 Yılı Önemli Örnek Analizi
2022 yılında blockchain alanında 300'den fazla güvenlik olayı meydana geldi ve bu olayların toplam tutarı 4.3 milyar dolara kadar ulaştı. Bu yazıda, çoğu 100 milyon dolardan fazla kayba yol açan 8 tipik olayı detaylı bir şekilde analiz edeceğiz.
Ronin Köprüsü
23 Mart 2022'de, Axie Infinity yan zinciri Ronin Network'e siber saldırı gerçekleştirildi ve 173.600 ETH ile 25.500.000 USD çalındı, toplam değer yaklaşık 590 milyon USD.
Saldırganlar sosyal mühendislik yöntemleriyle Ronin ağındaki 5 doğrulama düğümünü kontrol altına alarak ağa hakim oldular. Bu saldırı yöntemi APT( olarak adlandırılmaktadır, hacker öncelikle içteki bir bilgisayarı zıplama tahtası olarak kontrol altına alarak tüm sisteme sızdı.
Bu olay, Axie Infinity şirketinin çalışanlarının güvenlik bilincinin zayıf olduğunu ve şirket içindeki güvenlik sisteminin açıklarının bulunduğunu ortaya koydu.
Wormhole
Wormhole çapraz zincir köprüsü saldırıya uğradı ve yaklaşık 120.000 ETH kaybedildi. Sorun, Solana tarafındaki ana sözleşmenin imza doğrulama kodunda bir hata olmasıydı; bu hata, saldırganların "koruyucu" mesajını sahte olarak oluşturarak Wormhole paketlenmiş ETH'sini basmalarına izin verdi.
Bu sorunun temel nedeni bazı kullanımdan kaldırılmış fonksiyonların kullanılmasıdır. Geliştiricilere benzer sorunlardan kaçınmak için en son sürüm kod kütüphanesini kullanmaları önerilir.
Nomad Köprüsü
Nomad köprüsü, başlangıçta yapılan ayar sorunları nedeniyle, saldırganların köprü üzerinden fon çalmak için rastgele mesajlar oluşturmasına olanak tanıdı ve toplamda yaklaşık 190 milyon dolar kayba neden oldu.
Saldırganlar, bu açığı kullanarak sürekli olarak yapılandırılmış işlem verileri gönderdi ve çapraz zincir köprüsünde kilitli olan fonları çekti. Birçok MEV robotu da bu "para kapma" olayına katıldı.
Bu vaka, açık kaynak projeleri bir kez açıklar ortaya çıktığında, saldırganlar tarafından kolayca kullanılabileceğini göstermektedir. Proje sahipleri, kod güvenliği sorunlarını daha dikkatli bir şekilde ele almalıdır.
Beanstalk
Algoritmik stabilcoin projesi Beanstalk Farms, flaş kredi saldırısına uğradı ve yaklaşık 1.82 milyon dolar kaybetti.
Saldırganlar projenin yönetim mekanizması açığını kullandı: teklif oylaması ile uygulama arasında zaman aralığı yok. Saldırganlar, kötü niyetli teklifin onaylanması için büyük miktarda token almak amacıyla flash kredi kullanarak oylama yaptı ve hemen uyguladı.
Bu vaka, merkezi olmayan yönetişim mekanizmalarının daha fazla güvenlik dikkate alması gerektiğini, örneğin zaman kilidi gibi önlemler alması gerektiğini yansıtmaktadır.
Wintermute
Piyasa yapıcı Wintermute, hatalı bir şifreleme aracı olan Profanity kullanması nedeniyle bir sözleşmenin sahibi olan özel anahtarın kırılması sonucu yaklaşık 160 milyon dolar kaybetti.
Bu, herhangi bir açık kaynak aracını kullanırken kapsamlı bir güvenlik değerlendirmesi yapmamız gerektiğini hatırlatıyor.
Harmony Bridge
Harmony'nin Horizon çapraz zincir köprüsü saldırıya uğradı, kayıplar 100 milyon doları aştı. Bildirilenlere göre, şüpheli Kuzey Koreli hacker grubu Lazarus Group'un eseri.
Bu, köprülerin güvenlik risklerini ve bazı ulusal düzeydeki hacker gruplarının blockchain projelerine yönelik tehditlerini bir kez daha vurguladı.
Ankr
Ankr projesi, içindeki kişilerin kötü niyeti nedeniyle 1 trilyon aBNBc'nin havadan yaratılmasına sebep oldu ve bu ciddi sonuçlara yol açtı.
Bu, projenin iç yetki yönetiminde ciddi sorunlar olduğunu yansıtıyor; kritik işlemler daha güvenli yöntemler, örneğin çoklu imza cüzdanları kullanılarak gerçekleştirilmelidir.
Mango
Merkezi Olmayan Finans ticaret platformu Mango, piyasa manipülasyonu saldırısına uğradı ve yaklaşık 115 milyon dolar kaybetti.
Saldırganlar, platformdaki küçük kripto paraların likidite yetersizliğinden yararlanarak, uzun ve kısa pozisyon açma ve fiyatı yükseltme işlemleriyle kar elde etmiştir. Bu, projenin iş modeli tasarımında bir açığın olduğunu ortaya koyuyor.
Bu örnekler, blockchain projelerinin yalnızca kod güvenliğine dikkat etmesi değil, aynı zamanda iş modeli olası açıklarını da dikkate alması gerektiğini hatırlatıyor. Kullanıcılar projeye katıldıklarında riskleri kapsamlı bir şekilde değerlendirmelidir.
![Cobo Merkezi Olmayan Finans Güvenlik Dersi (1): 2022 Merkezi Olmayan Finans Güvenlik Büyük Olaylarının Gözden Geçirilmesi])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(
![Cobo Merkezi Olmayan Finans Güvenlik Dersi (1. Bölüm): 2022 Merkezi Olmayan Finans Güvenlik Büyük Olaylarının Gözden Geçirilmesi])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022 yılında Merkezi Olmayan Finans'ın sekiz büyük güvenlik olayı analizi: Zararlar birkaç yüz milyon dolara kadar ulaştı.
Merkezi Olmayan Finans Güvenlik Olayları İncelemesi: 2022 Yılı Önemli Örnek Analizi
2022 yılında blockchain alanında 300'den fazla güvenlik olayı meydana geldi ve bu olayların toplam tutarı 4.3 milyar dolara kadar ulaştı. Bu yazıda, çoğu 100 milyon dolardan fazla kayba yol açan 8 tipik olayı detaylı bir şekilde analiz edeceğiz.
Ronin Köprüsü
23 Mart 2022'de, Axie Infinity yan zinciri Ronin Network'e siber saldırı gerçekleştirildi ve 173.600 ETH ile 25.500.000 USD çalındı, toplam değer yaklaşık 590 milyon USD.
Saldırganlar sosyal mühendislik yöntemleriyle Ronin ağındaki 5 doğrulama düğümünü kontrol altına alarak ağa hakim oldular. Bu saldırı yöntemi APT( olarak adlandırılmaktadır, hacker öncelikle içteki bir bilgisayarı zıplama tahtası olarak kontrol altına alarak tüm sisteme sızdı.
Bu olay, Axie Infinity şirketinin çalışanlarının güvenlik bilincinin zayıf olduğunu ve şirket içindeki güvenlik sisteminin açıklarının bulunduğunu ortaya koydu.
Wormhole
Wormhole çapraz zincir köprüsü saldırıya uğradı ve yaklaşık 120.000 ETH kaybedildi. Sorun, Solana tarafındaki ana sözleşmenin imza doğrulama kodunda bir hata olmasıydı; bu hata, saldırganların "koruyucu" mesajını sahte olarak oluşturarak Wormhole paketlenmiş ETH'sini basmalarına izin verdi.
Bu sorunun temel nedeni bazı kullanımdan kaldırılmış fonksiyonların kullanılmasıdır. Geliştiricilere benzer sorunlardan kaçınmak için en son sürüm kod kütüphanesini kullanmaları önerilir.
Nomad Köprüsü
Nomad köprüsü, başlangıçta yapılan ayar sorunları nedeniyle, saldırganların köprü üzerinden fon çalmak için rastgele mesajlar oluşturmasına olanak tanıdı ve toplamda yaklaşık 190 milyon dolar kayba neden oldu.
Saldırganlar, bu açığı kullanarak sürekli olarak yapılandırılmış işlem verileri gönderdi ve çapraz zincir köprüsünde kilitli olan fonları çekti. Birçok MEV robotu da bu "para kapma" olayına katıldı.
Bu vaka, açık kaynak projeleri bir kez açıklar ortaya çıktığında, saldırganlar tarafından kolayca kullanılabileceğini göstermektedir. Proje sahipleri, kod güvenliği sorunlarını daha dikkatli bir şekilde ele almalıdır.
Beanstalk
Algoritmik stabilcoin projesi Beanstalk Farms, flaş kredi saldırısına uğradı ve yaklaşık 1.82 milyon dolar kaybetti.
Saldırganlar projenin yönetim mekanizması açığını kullandı: teklif oylaması ile uygulama arasında zaman aralığı yok. Saldırganlar, kötü niyetli teklifin onaylanması için büyük miktarda token almak amacıyla flash kredi kullanarak oylama yaptı ve hemen uyguladı.
Bu vaka, merkezi olmayan yönetişim mekanizmalarının daha fazla güvenlik dikkate alması gerektiğini, örneğin zaman kilidi gibi önlemler alması gerektiğini yansıtmaktadır.
Wintermute
Piyasa yapıcı Wintermute, hatalı bir şifreleme aracı olan Profanity kullanması nedeniyle bir sözleşmenin sahibi olan özel anahtarın kırılması sonucu yaklaşık 160 milyon dolar kaybetti.
Bu, herhangi bir açık kaynak aracını kullanırken kapsamlı bir güvenlik değerlendirmesi yapmamız gerektiğini hatırlatıyor.
Harmony Bridge
Harmony'nin Horizon çapraz zincir köprüsü saldırıya uğradı, kayıplar 100 milyon doları aştı. Bildirilenlere göre, şüpheli Kuzey Koreli hacker grubu Lazarus Group'un eseri.
Bu, köprülerin güvenlik risklerini ve bazı ulusal düzeydeki hacker gruplarının blockchain projelerine yönelik tehditlerini bir kez daha vurguladı.
Ankr
Ankr projesi, içindeki kişilerin kötü niyeti nedeniyle 1 trilyon aBNBc'nin havadan yaratılmasına sebep oldu ve bu ciddi sonuçlara yol açtı.
Bu, projenin iç yetki yönetiminde ciddi sorunlar olduğunu yansıtıyor; kritik işlemler daha güvenli yöntemler, örneğin çoklu imza cüzdanları kullanılarak gerçekleştirilmelidir.
Mango
Merkezi Olmayan Finans ticaret platformu Mango, piyasa manipülasyonu saldırısına uğradı ve yaklaşık 115 milyon dolar kaybetti.
Saldırganlar, platformdaki küçük kripto paraların likidite yetersizliğinden yararlanarak, uzun ve kısa pozisyon açma ve fiyatı yükseltme işlemleriyle kar elde etmiştir. Bu, projenin iş modeli tasarımında bir açığın olduğunu ortaya koyuyor.
Bu örnekler, blockchain projelerinin yalnızca kod güvenliğine dikkat etmesi değil, aynı zamanda iş modeli olası açıklarını da dikkate alması gerektiğini hatırlatıyor. Kullanıcılar projeye katıldıklarında riskleri kapsamlı bir şekilde değerlendirmelidir.
![Cobo Merkezi Olmayan Finans Güvenlik Dersi (1): 2022 Merkezi Olmayan Finans Güvenlik Büyük Olaylarının Gözden Geçirilmesi])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(
![Cobo Merkezi Olmayan Finans Güvenlik Dersi (1. Bölüm): 2022 Merkezi Olmayan Finans Güvenlik Büyük Olaylarının Gözden Geçirilmesi])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(