2022 Yılı Merkezi Olmayan Finans Güvenlik Olayları İncelemesi

Yazar: Bir Güvenlik Uzmanı

Son zamanlarda, deneyimli bir güvenlik uzmanı topluluk üyelerine bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Geçtiğimiz bir yıl boyunca Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve önleme önlemlerini tartıştı, akıllı sözleşmelerde yaygın güvenlik açıklarını özetledi ve bazı güvenlik önerileri sundu. Bu makalede, paylaşılan içeriği DeFi meraklılarının referansı için derledik.

İstatistiklere göre, 2022 yılında 300'den fazla blok zinciri güvenlik olayı meydana geldi ve toplamda 4.3 milyar dolar tutarında bir miktar etkilendi.

Aşağıda 8 tipik vakaya dair detaylı analizler bulunmaktadır. Bu vakaların kayıplarının çoğu 1 milyar doları aşmaktadır.

Ronin Köprüsü

Olay İncelemesi:

• 23 Mart 2022'de, Axie Infinity yan zinciri Ronin Network'ün hacklenmesi sonucu 173.600 ETH ve 25.500.000 USD çalındı, toplam değeri yaklaşık 590.000.000 USD.
• ABD Hazine Bakanlığı, Kuzey Koreli hacker grubu Lazarus'un bu olayla ilgili olduğunu belirtti.
• Haberlere göre, bir hacker LinkedIn üzerinden Sky Mavis şirketinin bir çalışanı ile iletişime geçti ve onu kandırarak sistem erişim izni aldı.

Bu saldırı, tipik bir APT( yüksek düzeyde sürekli tehdidi ) olarak sınıflandırılmaktadır. Hacker grubu, sosyal mühendislik gibi yöntemlerle, hedef organizasyondaki bir bilgisayarı köprü olarak kontrol altına alarak daha fazla sızma sağlamakta ve nihayetinde saldırı amacına ulaşmaktadır.

Olay, şirket çalışanlarının güvenlik bilincinin zayıf olduğunu ve iç güvenlik sisteminde sorunlar bulunduğunu ortaya koydu.

Wormhole

Olay İncelemesi:

• Wormhole'un Solana tarafındaki ana sözleşmesinin imza doğrulama kodunda bir hata var, bu da saldırganların "koruyucu" mesajlarını taklit ederek Wormhole ile paketlenmiş ETH basmalarına olanak tanıyor ve yaklaşık 120.000 ETH kaybına yol açıyor.
• Jump Crypto 12.000 ETH yatırdı kayıpları telafi etmek için.

Wormhole'un karşılaştığı başlıca sorunlar kod düzeyinde olup, bazı terkedilmiş fonksiyonlar kullanılmıştır. Geliştiricilerin en son sürümü kullanmaları ve benzer sorunlardan kaçınmaları önerilir.

Nomad Bridge

Olayın Gözden Geçirilmesi:

• Nomad köprüsü Replica sözleşmesi başlatıldığında güvenilir kök 0x0 olarak ayarlandı ve eski kök zamanında geçersiz kılınmadı, bu da saldırganların istedikleri mesajları oluşturup fonları çalmalarına neden oldu ve 1,9 milyar dolardan fazla kayba yol açtı.
• Birden fazla adres saldırıya katıldı, bunlar arasında MEV robotları, hackerlar ve beyaz şapkalı hackerlar yer alıyor.

Bu tipik bir vakadır. Başlatma ayarlarında sorunlar var, bu da geçerli işlemlerin tekrar tekrar yürütülmesine neden oluyor. MEV botları gibi araçlar bunu keşfettikten sonra, çok sayıda saldırı işlemi yayarak para kazanma olaylarına yol açtı.

Akıllı sözleşme ekosisteminin açık kaynak özellikleri, hackerların analiz etmesini ve açıkları bulmasını kolaylaştırır. Proje bir kez açık bulursa, neredeyse başarısız olduğu ilan edilir.

Beanstalk

Olay İncelemesi:

• Beanstalk Farms, bir flaş kredi saldırısına uğradı ve yaklaşık 1.82 milyon dolar kaybetti.
• Saldırgan, yaklaşık 24830 ETH ve 3600万 BEAN dahil olmak üzere 80 milyon dolardan fazla kazanç sağladı.
• Saldırı nedeni, öneri oylaması ile yürütme arasında zaman aralığı olmaması, saldırganın doğrudan kötü niyetli önerileri uygulayabilmesidir.

Saldırı süreci:

1. Tokenleri önceden satın alarak teklif hakkı kazanma, kötü niyetli teklif sözleşmesi oluşturma
2. Flash loan ile büyük miktarda token oylama elde etme
3. Kötü niyetli akit doğrudan yürütülür, arbitraj tamamlanır

Bu vaka, tamamen merkeziyetsiz yönetim mekanizmalarının potansiyel risklerini ortaya koymaktadır. Projelerin öneri inceleme mekanizması, oy verme eşiği ve zaman kilidi gibi güvenlik önlemleri belirlemesi önerilmektedir.

Wintermute

Olayın Gözden Geçirilmesi:

2022年9月21日,Wintermute确认遭遇黑客攻击。他ler Profanity工具 kullanarak işlem ücretlerini optimize etmek için özel cüzdan adresleri oluşturmuşlardır. Profanity'nin bir açığı olduğunu öğrendikten sonra eski anahtarları kullanmayı hızlandırdılar, ancak iç hata nedeniyle etkilenen adreslerin imza yetkilerini tam olarak silmedikleri için fonlar çalındı.

Açık kaynaklı araçlar kullanırken güvenlik risklerini tam olarak değerlendirmek önemlidir. Özellikle anahtar yönetimi ile ilgili araçlar söz konusu olduğunda, daha da dikkatli olunmalıdır.

Harmony Bridge

Olay İncelemesi:

• Horizon çapraz zincir köprüsünün kaybı 100 milyon doları aştı, 13 binden fazla ETH ve 5000 BNB dahil.
• Harmony kurucusu, saldırının özel anahtar sızıntısından kaynaklandığını söyledi.
• Blockchain analiz şirketi, Kuzey Koreli hacker grubu Lazarus Group'un arka planda olabileceğini düşünüyor.

Eğer gerçekten Kuzey Koreli hacker grubu ise, saldırı yöntemi Ronin Bridge olayına benzer olabilir. Son yıllarda Kuzey Koreli hacker gruplarının kripto para sektörüne yönelik saldırı faaliyetleri oldukça aktiftir.

Ankr

Olay İncelemesi:

• Ankr sözleşmesi güncellendikten sonra, saldırganlar mintleme yöntemiyle havadan 100 trilyon aBNBc üretti.
• Saldırgan, bir kısmını aBNBc'yi 5 milyon USDC ile değiştirerek aBNBc fiyatının çakılmasına neden oldu.
• Arbitrajcılar, Helio'nun fiyat gecikme mekanizmasını kullanarak 17 milyon dolardan fazla arbitraj gerçekleştirdi.
• Ankr, 15 milyon dolarlık tazminat taahhüt etti.

Sonraki araştırmalar, olayın bir işten ayrılan çalışanın kötü niyetinden kaynaklandığını gösterdi. Açığa çıkan sorunlar şunlardır:

• Anahtar sözleşmeler EOA hesapları tarafından, çok imzalı kontrol yerine yönetilir.
• Çekirdek çalışanlar Deployer özel anahtarını kontrol edebilir
• İç güvenlik yönetiminde eksiklikler var

Mango

Olayın Gözden Geçirilmesi:

• Saldırganlar, Mango platformunda 10 milyon USDT ile uzun-kısa işlem yaparak, aynı zamanda diğer platformlarda MNGO fiyatını yükseltiyor.
• MNGO fiyatı 0.0382 dolardan 0.91 dolara yükseldi, saldırganlar 4.2 milyar dolar kazanç elde etti.
• Saldırgan sonunda yaklaşık 1.15 milyar dolar değerinde varlık ödünç aldı.
• Saldırgan, hazine fonlarıyla protokolün kötü borçlarını geri ödemeyi önerdi, şartı ise cezai soruşturma yapılmaması.
• Aralık 2022'de, kendini saldırgan olarak tanıtan Avraham Eisenberg Porto Riko'da tutuklandı.

Bu hem bir güvenlik olayı olarak hem de bir arbitraj eylemi olarak görülebilir. Ana sorun, iş modeli açığıdır; küçük kripto para birimlerinin fiyatları kolayca manipüle edilebilir, bu da platformun pozisyon yönetimini zorlaştırır.

Proje tarafı, çeşitli aşırı senaryoları test etmek için yeterince düşünmelidir. Kullanıcılar projeye katıldıklarında riskleri kapsamlı bir şekilde değerlendirmeli, sadece kazançlara odaklanmamalıdır.