Subat 2024 Blockchain Güvenlik Raporu
Blockchain teknolojisi, dijital dünyanın sınırlarını zorlayarak güvenlik, şeffaflık ve merkeziyetsizlik vaatleriyle adından sıkça söz ettiriyor. Ancak 2023'ün aynı dönemine kıyasla, başarılı hack girişimlerinde %15,4'lük bir artış ve 200 milyon doları aşan kayıplarla, kripto para dünyası bir güvenlik krizinin ortasında bulunuyor. Peki, bu saldırılar nasıl başarıldı? Ve Asic Crypto gibi güvenliği öncelik haline getiren firmaların rolü nedir?
Blockchain güvenlik firmalarının vurguladığı üzere, başarılı hack girişimlerindeki artış, protokollerin hatalı mekanizmalarından kaynaklanıyor. Raporlar, saldırıların protokollerin hatalı mekanizmaları nedeniyle mümkün olduğunu ortaya çıkıyor:
- 28 Şubat’ta, stablecoin protokolü Seneca, akıllı sözleşmesindeki onay mekanizması hatası nedeniyle 6,4 milyon dolar (1.900 ETH) kaybetti.
- 29 Şubat’ta, Katman-1 Blockchain Shido, Ethereum tabanlı staking sözleşmesindeki açık nedeniyle sadece 30 dakika içinde %94 düştü.
- 9 Şubat’ta, kripto oyun ve NFT platformu PlayDapp, 290 milyon doların üzerinde değere sahip 1,79 milyar PLA tokeninin basılmasıyla sonuçlanan istismarlar yaşadı.
Immunefi'nin raporuna göre, 2024'ün Şubat ayında kripto oyun platformu PlayDapp, 32,3 milyon dolarla en büyük kaybı verdi.
Ocak 2024'de hack saldırılarına maruz kalan projeler:
- Orbit Chain: 80 milyon dolar
- CoinsPaid: 7.5 milyon dolar
- Radiant Capital: 4.5 milyon dolar
- Abracadabra Finance: 6.5 milyon dolar
- Gamma Strategies: 3.4 milyon dolar
- Socket.Tech: 3.3 milyon dolar
- Concentric.fi: 1.8 milyon dolar
Bazen ‘dağıtık defter teknolojisi’ olarak da adlandırılan Blockchain, iyi tasarlanmış bir sistemden taviz vermeyi zorlaştıran, hatta imkansız hale getiren çeşitli özelliklere sahiptir.
Söz konusu saldırılar, Blockchain'in merkezi bir başarısızlık noktasının olmaması, güvenliğin karmaşık şifreleme algoritmalarından alınması gibi güçlü özelliklerine rağmen gerçekleşti. Saldırıların başarılı olmasının ana sebebi, akıllı sözleşmelerin ve protokollerin tasarımındaki zayıflıklar. Örneğin, Seneca protokolünün "performOperations" işlevi, dışarıdan çağrılabilir durumdaydı ve girdi doğrulaması yapılmamıştı. Bu zayıflıklar, saldırganların varlıkları kötü niyetli amaçlarla ele geçirmesine olanak tanıdı.
Blockchain teknolojisi bu kadar güçlüyse, hack girişimleri nasıl başarılı oluyor?
Blockchain güvenlik firması CertiK, akıllı sözleşmesindeki onay mekanizması hatası nedeniyle 1.900 ETH kaybeden CDP protokolü Seneca hakkında şunları raporluyor:
- Zayıf Sözleşmenin "performOperations" İşlevi: Saldırı, bir akıllı sözleşmenin içinde bulunan "performOperations" adlı bir işlevin kötü niyetli şekilde kullanılmasına dayanır. Bu işlev, dışarıdan çağrılabilir durumda ve girdi doğrulaması yapılmamıştır.
- Eksik Girdi Doğrulaması: Sözleşmedeki "performOperations" işlevi, dışarıdan gelen girdileri doğrulamak için yeterli bir kontrol yapmaz. Yani, işlevi kullanan kişi veya diğer akıllı sözleşmeler, istenmeyen veya beklenmeyen verilerle işlem yapabilir.
- Özel Calldata Oluşturma: Saldırgan, sözleşmenin bu zayıf noktasını kullanarak, "action == Constants.OPERATION_CALL" ifadesini tetikleyen özel veriler oluşturur. Bu, başka bir sözleşmeyi veya akıllı sözleşmeye, kötü amaçlı işlemler gerçekleştirmek için istenilen verilerle çağırmayı mümkün kılar.
- Varlıkların Aktarımı: Saldırgan, bu şekilde kontrol edilemeyen işlemleri gerçekleştirmek için, zayıf sözleşmeye yetki vermiş olan adreslerden doğrudan varlıkları kendisine aktarır. Bu, saldırganın başka hesaplardan varlıkları kötü niyetli amaçlarla ele geçirmesini sağlar.
Bu adımların bir araya gelmesiyle, saldırgan zayıf sözleşmenin içindeki "performOperations" işlevini kötü amaçlı kullanarak, varlıkları başka hesaplardan kendisine aktarabilir ve istediği gibi sözleşmeleri kontrol edebilir.
Asic Crypto ekibi olarak,
Güvenliğiniz bizim için önceliktir. Blockchain saldırılarına karşı en güçlü önlemleri alıyor ve sürekli güncelliyoruz. Müşterilerimizin ve topluluğumuzun varlıklarını korumak için buradayız.