– Merkezi olmayan uygulamaların (dApp'ler) geliştirilmesi ve güvenliğinin sağlanması için araçlar sağlayan bir siber güvenlik şirketi olan Open Zeppelin.
– Şirket, dApp'lere yönelik en büyük tehdidin blockchain teknolojisi değil, dünya çapındaki bilgisayar korsanlarının kötü niyeti olduğunu ortaya çıkardı.
Blockchain hackleme bir sorun haline geldi ve kripto para ekosistemini tehdit ediyor. Bilgisayar korsanları, kripto para birimini ve dijital varlıkları çalmak için blockchain güvenliğini ihlal edebilir. Bu nedenle şirketler, sistemlerini siber saldırılara karşı korumanın yenilikçi yolları üzerinde çalışıyor. Open Zeppelin, en iyi on blockchain hackleme tekniğini özetleyen bir rapor yayınladı.
Bilgisayar Korsanları Blockchain Güvenliğine Nasıl Tehdit Oluşturuyor?
%51 Saldırı
Bu saldırı, bir bilgisayar korsanının blockchain ağındaki bilgi işlem gücünün en az %51'inin veya daha fazlasının kontrolünü ele geçirmesiyle gerçekleşir. Bu onlara ağın konsensüs algoritmasını kontrol etme ve işlemleri manipüle etme gücü verecek. Bu, bilgisayar korsanının aynı işlemi tekrarlayabileceği çift harcamayla sonuçlanacaktır. Örneğin Binance, memecoin Dogecoin ve stablecoin Zilliqa'nın büyük bir yatırımcısıdır ve kripto piyasasını kolaylıkla manipüle edebilir.
Akıllı Sözleşme Riskleri
Akıllı sözleşmeler, temel blockchain teknolojisine dayanan, kendi kendini çalıştıran programlardır. Bilgisayar korsanları akıllı sözleşmelerin kodunu hackleyebilir ve bilgileri, fonları veya dijital varlıkları çalmak için bunları manipüle edebilir.
Sibil Saldırıları
Böyle bir saldırı, bir bilgisayar korsanının bir blockchain ağında birden fazla sahte kimlik veya düğüm oluşturduğunda meydana gelir. Bu, ağın bilgi işlem gücünün büyük bir kısmı üzerinde kontrol sahibi olmalarını sağlar. Terörün finansmanına veya diğer yasa dışı faaliyetlere yardımcı olmak için ağdaki işlemleri manipüle edebilirler.
Kötü Amaçlı Yazılım Saldırıları
Bilgisayar korsanları, kullanıcının şifreleme anahtarlarına veya özel bilgilerine erişmek için kötü amaçlı yazılım dağıtabilir ve bu da onların cüzdanlardan çalmasına olanak tanır. Bilgisayar korsanları, kullanıcıları kandırarak dijital varlıklarına yetkisiz erişim elde etmek için kullanılabilecek özel anahtarlarını açığa çıkarabilir.
Open Zeppelin'in En İyi 10 Blockchain Hackleme Tekniği Nelerdir?
Bileşik TUSD Entegrasyon Sorunu Geçmişe Dönük
Compound, kullanıcıların dijital varlıklarını Ethereum blok zincirinden ödünç alıp ödünç vererek faiz kazanmalarına yardımcı olan merkezi olmayan bir finans protokolüdür. TrueUSD, USD'ye sabitlenmiş bir stabilcoindir. TUSD ile ilgili ana entegrasyon sorunlarından biri varlık devredilebilirliğiyle ilgiliydi.
TUSD'yi bir Bileşik üzerinde kullanmak için Ethereum adresleri arasında aktarılabilir olması gerekiyordu. Ancak TUSD'nin akıllı sözleşmesinde bir hata bulundu ve bazı transferler engellendi veya ertelendi. Bu, müşterilerin Bileşikten TUSD çekemeyeceği veya yatıramayacağı anlamına geliyordu. Bu da likidite sorunlarına yol açtı ve kullanıcılar faiz kazanma veya TUSD borçlanma fırsatlarını kaybetti.
6.2 L2 DAI, kod değerlendirmelerindeki sorunların çalınmasına olanak tanır
Şubat 2021'in sonunda, StarkNet DAI Köprüsü akıllı sözleşmelerinin kod değerlendirmesinde, herhangi bir saldırganın Katman 2 veya L2 DAI sisteminden fon yağmalamasına izin verebilecek bir sorun keşfedildi. Bu sorun, blockchain güvenlik kuruluşu Certora tarafından yapılan bir denetim sırasında tespit edildi.
Kod değerlendirmesindeki sorun, bir bilgisayar korsanının DAI paralarını DAI'nin L2 sistemine yatırmak için kullanabileceği, sözleşmenin savunmasız bir yatırma işleviyle ilgiliydi; aslında paraları göndermeden. Bu, bir bilgisayar korsanının sınırsız miktarda DAI parası basmasına olanak tanıyabilir. Büyük kar elde etmek için onu piyasaya satabilirler. StarkNet sistemi, keşif sırasında içinde kilitli olan 200 milyon doların üzerinde para kaybetti.
Sorun, hatalı akıllı sözleşmenin yeni bir versiyonunu dağıtmak için Certora ile birlikte çalışan StarkNet ekibi tarafından çözüldü. Yeni sürüm daha sonra şirket tarafından denetlendi ve güvenli olduğu belirlendi.
Avalanche'ın 350 Milyon Dolarlık Risk Raporu
Bu risk, Kasım 2021'de meydana gelen ve yaklaşık 350 milyon dolar değerinde token kaybıyla sonuçlanan bir siber saldırıyı ifade ediyor. Bu saldırı, kullanıcıların kripto para alışverişi yapmasına olanak tanıyan bir DeFi platformu olan Poly Network'ü hedef aldı. Saldırgan, platformun akıllı sözleşme kodundaki bir güvenlik açığından yararlanarak bilgisayar korsanının platformun dijital cüzdanlarını kontrol etmesine olanak sağladı.
Saldırıyı fark eden Poly Network, saldırının platformu ve kullanıcılarını etkilediğini belirterek hackerdan çalınan varlıkları iade etmesini istedi. Saldırgan şaşırtıcı bir şekilde çalınan varlıkları iade etmeyi kabul etti. Ayrıca, bunlardan kâr elde etmek yerine güvenlik açıklarını ortaya çıkarmayı amaçladığını da iddia etti. Saldırılar, güvenlik açıklarının istismar edilmeden önce tespit edilmesi için güvenlik denetimlerinin ve akıllı sözleşmelerin test edilmesinin önemini vurgulamaktadır.
Kusursuz akıllı sözleşmelerden 100 milyon dolar nasıl çalınır?
29 Haziran 2022'de soylu bir kişi, 100 milyon dolar değerindeki dijital varlıkların tasarımındaki kritik bir kusuru ifşa ederek Moonbeam Network'ü korudu. ImmuneF tarafından bu hata ödül programının maksimum tutarı (1 milyon dolar) ve Moonwell'den bir bonus (50 bin) ile ödüllendirildi.
Moonriver ve Moonbeam EVM uyumlu platformlardır. Aralarında önceden derlenmiş bazı akıllı sözleşmeler var. Geliştirici, EVM'deki 'delege çağrısının' avantajını dikkate almadı. Kötü niyetli bir bilgisayar korsanı, arayanın kimliğine bürünmek için önceden derlenmiş sözleşmesini geçebilir. Akıllı sözleşme gerçek arayanı belirleyemeyecek. Saldırgan, mevcut fonları sözleşmeden anında aktarabilir.
PWNING nasıl 7 ETH'yi kurtardı ve 6 milyon dolarlık hata ödülünü nasıl kazandı?
PWNING, yakın zamanda kripto ülkesine katılmış bir bilgisayar korsanlığı meraklısıdır. 14 Haziran 2022'den birkaç ay önce Aurora Engine'de kritik bir hata bildirdi. Güvenlik açığını bulup Aurora ekibinin sorunu çözmesine yardım edene kadar en az 7K Eth'in çalınma riski vardı. Ayrıca tarihteki en yüksek ikinci ödül olan 6 milyonluk hata ödülünü de kazandı.
Fantom Fonksiyonları ve Milyar Dolarlık Operasyonsuz
Bunlar yazılım geliştirme ve mühendislikle ilgili iki kavramdır. Hayalet işlevler, bir yazılım sisteminde bulunan ancak hiçbir zaman çalıştırılmayan kod bloklarıdır. 10 Ocak'ta Dedaub ekibi, eski adı AnySwap olan Multi Chain projesindeki güvenlik açığını açıkladı. Multichain, müşterileri üzerindeki etkisine odaklanan bir kamu duyurusu yaptı. Bu duyuruyu saldırılar ve flaş bot savaşı takip etti ve bu da fonların %0.5'inin kaybedilmesine neden oldu.
Salt Okunur Yeniden Giriş - 100 milyon dolarlık fon riskinden sorumlu bir güvenlik açığı
Bu saldırı, kendisini tekrar tekrar çağırabilecek ve hedeflenen sözleşmeden fon çekebilecek kötü niyetli bir sözleşmedir.
WETH gibi tokenlar iflas edebilir mi?
WETH, Ethereum ekosistemindeki basit ve temel bir sözleşmedir. Eğer depegging gerçekleşirse hem ETH hem de WETH değer kaybedecek.
Profanity'de açıklanan bir güvenlik açığı
Profanity, gösteriş aracına yönelik bir Ethereum makyaj aracıdır. Artık bir kullanıcının cüzdan adresi bu araç tarafından oluşturulduysa, bu adresin kullanılması onlar için güvenli olmayabilir. Profanity, güvenli olmadığından şüphelenilen 32 bitlik özel anahtarı oluşturmak için rastgele bir 256 bitlik vektör kullandı.
Ethereum L2'ye saldırı
Herhangi bir saldırganın zincirdeki parayı kopyalamak için kullanabileceği kritik bir güvenlik sorunu bildirildi.
Nancy J. Allen bir kripto meraklısı ve kripto para birimlerinin insanlara kendi bankaları olmaları için ilham verdiğine ve geleneksel para değişim sistemlerinden uzaklaşmalarına inanıyor. Ayrıca blockchain teknolojisi ve işleyişi ile ilgileniyor.
Kaynak: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/