Hack’ler daha iyi müdafa mekanizmaları gerektiriyor
2022, bugüne dek birkaç yüksek profilli saldırıda 2 milyar dolardan fazla kripto para biriminin elden çıkarılmasıyla, gelişmekte olan Web3 ve merkezi olmayan finans (DeFi) alanlarını avlayan bilgisayar korsanları için kazançlı bir yıl oldu. Axie Infinity’nin 650 milyon dolarlık Ronin Bridge hack’i, bu yıl çalınan fonların mühim bir bölümünü oluşturuyor.
Zincirler arası platform Nomad’ın cüzdanlardan 190 milyon dolar çekildiğini görmüş olduğu için yağma 2022’nin ikinci yarısına kadar devam etti. Solana ekosistemi, bilgisayar korsanlarının ortalama 8000 cüzdanın hususi anahtarlarına erişerek 5 milyon dolar değerinde Solana (SOL) ve Solana Program Kitaplığı (SPL) tokenlerinin çalınmasına yol açan bir sonraki hedefti.
deBridge Finance, 8 Ağustos Pazartesi günü, Şimal Koreli Lazarus Group bilgisayar korsanları tarafınca kullanılan geniş kapsamlı bir hücum vektörü olduğundan şüphelenilen yöntemler tarafınca kullanılan şekilleri açığa çıkararak, bir kimlik avı girişimi girişimini atlatmayı başardı. Yalnız birkaç gün sonrasında Curve Finance, bilgisayar korsanlarının kullanıcıları düzmece bir web sayfasına yönlendirdiğini ve bunun sonucunda 600.000 ABD Doları tutarındaki USD Coin’in (USDC) çalınmasına yol açan bir istismar oldu.
Birden fazla başarısızlık noktası
DeBridge Finance ekibi, bazı ekip üyelerinin daha ilkin önde gelen bir anti-virüs şirketinde çalmış olduğu göz önüne alındığında, Cointelegraph ile yazışmalarında bu saldırıların yaygınlığı hakkında bazı uygun görüşler sundu.
Kurucu ortak Alex Smirnov, zincirler arası kıymet transferi taleplerini yerine getiren likidite toplayıcıları olarak rolleri göz önüne alındığında, zincirler arası protokollerin hedeflenmesinin arkasındaki itici faktörü altını çizdi. Bu protokollerin bir çok, likidite madenciliği ve kaçınılmaz olarak hain erkek oyuncular için bir bal küpü haline gelen öteki teşvikler yöntemiyle mümkün olduğunca fazla likidite toplamaya çalışır:
“Büyük oranda likiditeyi kilitleyerek ve bilincinde olmadan çeşitli hücum şekilleri sunarak, köprüler kendilerini bilgisayar korsanlarının hedefi haline getiriyor.”
Smirnov, köprüleme protokollerinin, toplandıkları desteklenen tüm blok zincirlerinin güvenlik modellerine dayanan ve potansiyel hücum yüzeyini büyük seviyede artıran ara katman yazılımı bulunduğunu ekledi. Bu, öbürlerinden likidite çekmek için bir zincirde bir hücum gerçekleştirmeyi mümkün kılar.
İlgili: Zincirler arası köprüler için güvenli bir gelecek var mı?
Smirnov, Web3 ve zincirler arası alanın, ekiplerin başkalarının hatalarından öğrendiğini gören yinelemeli bir geliştirme süreci ile bir başlangıç döneminde bulunduğunu ekledi. DeBridge’in kurucu ortağı, istismarların yaygın olduğu DeFi alanındaki ilk iki yılla paralellikler çizerek bunun organik bir diş çıkarma süreci bulunduğunu kabul etti:
“Zincirler arası alan Web3 bağlamında bile son aşama genç, bu yüzden aynı sürecin gerçekleştiğini görüyoruz. Çapraz zincir çok önemli bir potansiyele haizdir ve daha çok ana para akışı kaçınılmazdır ve bilgisayar korsanlarının hücum vektörlerini bulmak için daha çok vakit ve kaynak ayırması kaçınılmazdır.”
Curve Finance DNS korsanlığı vakası, fena niyetli aktörlerin kullanabileceği çeşitli hücum yöntemlerini de göstermektedir. Bitfinex baş teknoloji sorumlusu Paolo Ardoino, Cointelegraph’a sektörün tüm güvenlik tehditlerine karşı tetikte olması icap ettiğini söylemiş oldu:
“Bu hücum, bilgisayar korsanlarının yaratıcılığının sektörümüz için yakın ve daima mevcut bir çekince oluşturduğunu bir kez daha gösteriyor. Bir bilgisayar korsanının protokolün DNS girişini değiştirebilmesi, kullanıcıları düzmece bir klona yönlendirmesi ve fena niyetli bir sözleşmeyi onaylaması, yapılması ihtiyaç duyulan uyanıklık için oldukça şey söylüyor.”
Gelgiti durdurmak
İstismarların yaygınlaşmasıyla beraber projeler şüphesiz bu riskleri azaltmanın yollarını düşünüyor olacak. Saldırganların emrinde olan yollar dizisi göz önüne alındığında, yanıt net olmaktan uzak. Smirnov, köprüleme protokollerinin güvenliğini kavramsallaştırırken bir “İsviçre peyniri modeli” kullanmayı seviyor, bir saldırıyı gerçekleştirmenin tek yolu, bir takım “deliğin” anlık olarak sıraya girmesidir.
“Risk seviyesini dikkatsizlik edilebilir kılmak için her katmandaki delik boyutunun mümkün olduğunca minimum olması hedeflenmeli ve katman sayısı maksimum olmalıdır.”
Çapraz zincir platformlarda yer edinen hareketli parçalar göz önüne alındığında, bu gene karmaşık bir iştir. Güvenilir oldukça düzeyli güvenlik modelleri oluşturmak, zincirler arası protokollerle ilişkili risk çeşitliliğini ve desteklenen zincirlerin risklerini anlamayı gerektirir.
Başlıca tehditler, konsensüs algoritması ve desteklenen zincirlerin kod tabanı, %51 saldırıları ve blok zinciri tekrardan düzenlemeleriyle ilgili güvenlik açıklarını ihtiva eder. Doğrulama katmanlarına yönelik riskler, doğrulayıcıların gizli saklı anlaşmasını ve güvenliği ihlal edilmiş altyapıyı içerebilir.
Yazılım geliştirme riskleri, akıllı sözleşmelerdeki ve köprü doğrulama düğümlerindeki mühim kaygı alanlarındaki güvenlik açıkları yada hatalarla ilgili başka bir husustur. Son olarak, deBridge, güvenliği ihlal edilmiş protokol yetki anahtarları benzer biçimde protokol yönetimi risklerini başka bir güvenlik düşüncesi olarak not eder.
“Tüm bu riskler hızla birleşiyor. Projeler oldukça yönlü bir yaklaşım benimsemeli ve güvenlik denetimleri ve hata ödül kampanyalarına ek olarak, protokol tasarımının kendisine çeşitli güvenlik önlemleri ve doğrulamaları yerleştirmelidir.”
Daha yaygın olarak kimlik avı saldırıları olarak adlandırılan toplumsal mühendislik, dikkate alınması ihtiyaç duyulan başka bir noktadır. deBridge ekibi bu tür saldırıları engellemeyi başarsa da, daha geniş ekosisteme yönelik en yaygın tehditlerden biri olmaya devam ediyor. Kimlik bilgilerini çalmaya ve sistemleri ele geçirmeye yönelik bu kurnaz girişimlere yakalanmamak için eğitim ve katı iç güvenlik politikaları yaşamsal ehemmiyet taşımaktadır.