2022 yılı Merkezi Olmayan Finans güvenlik olayları incelemesi
Yazar: Bir Web3 güvenlik uzmanı
Son zamanlarda, deneyimli bir güvenlik uzmanı topluluk üyelerine Merkezi Olmayan Finans güvenlik dersi verdi. Bu uzman, 2022 yılında Web3 sektöründe meydana gelen önemli güvenlik olaylarını gözden geçirdi, bu olayların sebeplerini ve önleme yöntemlerini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını özetledi ve projeler için ve kullanıcılar için güvenlik önerileri sundu.
İstatistiklere göre, 2022 yılında 300'den fazla blockchain güvenlik olayı meydana geldi ve toplamda 4.3 milyar dolara kadar bir miktar söz konusuydu.
Bu makalede 1 milyar doların üzerinde kayıplara yol açan 8 tipik vaka detaylı bir şekilde tanıtılacaktır. Ankr, kaybı görece daha küçük olmasına rağmen oldukça temsilci bir örnektir.
Ronin Bridge olayı
2022 Mart ayında, Axie Infinity'nin yan zinciri Ronin Network siber saldırıya uğradı ve 173.600 ETH ile 25.5 milyon dolar kaybedildi.
Saldırganlar sosyal mühendislik yöntemleriyle çalışanların güvenini kazanarak kötü amaçlı yazılım yükledi ve nihayetinde 5 doğrulama düğümünden 4'ünü kontrol altına alarak saldırıyı gerçekleştirdi. Bu, şirket içindeki güvenlik bilincinin ve yönetimin sorunlar taşıdığını ortaya koydu.
Wormhole Olayı
Wormhole çapraz zincir köprüsünün Solana tarafındaki sözleşme doğrulama kodunda bir açık bulunmaktaydı, bu da saldırganların "gözetmen" mesajını sahte olarak oluşturarak 120.000 ETH basmasına neden oldu.
Bu esasen bazı kullanımdan kaldırılmış fonksiyonların kullanılmasından kaynaklanmaktadır. Geliştiricilerin en son sürümü kullanmaları ve benzer sorunlardan kaçınmaları önerilir.
Nomad Bridge Olayı
Nomad çapraz zincir köprüsünün Replica sözleşmesi başlatıldığında güvenilir kök 0x0 olarak ayarlandı ve eski kök geçersiz kılınmadı, bu da saldırganların istedikleri mesajları oluşturarak fonları çalmasına neden oldu, yaklaşık 1.9 milyar dolar kayıp.
Bu tipik vaka, başlangıç ayarlarıyla ilgili sorunların ciddi sonuçlar doğurabileceğini göstermektedir. Geçerli işlemlerin tekrar edilebilir olduğu keşfedildiğinde, birçok katılımcı parayı kapmak için yarışa girer ve bu nihayetinde bir "para kapma savaşı" haline dönüşür.
Beanstalk Olayı
Algoritmik stabilcoin projesi Beanstalk, flaş kredi saldırısına uğradı ve yaklaşık 182 milyon dolar kaybetti.
Saldırganlar, proje mekanizmasındaki bir açığı kullanarak, flash loan aracılığıyla büyük miktarda token elde edip kötü niyetli önerileri oylayarak onayladıktan sonra hemen uygulamaktadırlar. Bu, tamamen merkeziyetsiz yönetişimin bazı sorunlarını ortaya koymaktadır; öneri incelemesi, oylama mekanizması, zaman kilidi gibi unsurlar dikkatlice tasarlanmalıdır.
Wintermute olayı
Piyasa yapıcı Wintermute, güvenlik açığı bulunan şık numara üretim aracı Profanity'i kullanarak, sözleşmenin sahibi olan kişinin özel anahtarının kırılmasına ve fonların transfer edilmesine neden oldu.
Bu, açık kaynaklı araçları kullanırken güvenlik risklerini tam olarak değerlendirmemiz gerektiğini hatırlatıyor.
Harmony Bridge Olayı
Harmony çapraz zincir köprüsü Horizon'un kaybı 100 milyon doları aştı, şüpheler Kuzey Koreli hacker grubuna yöneliyor. Saldırı yöntemi Ronin Bridge olayıyla benzerlik gösterebilir.
Ankr Olayı
Ankr, iç çalışanların kötü niyetiyle karşılaştı, bu da büyük miktarda tokenin basılmasına ve satılmasına yol açtı, bu da zincirleme bir tepkiyi tetikledi.
Bu, projenin içindeki yetki yönetimi ve güvenlik sisteminin ciddi sorunlar barındırdığını ortaya koyuyor.
Mango Olayı
Saldırganlar, MNGO adlı küçük bir token'in fiyatını manipüle ederek, sürekli sözleşme platformunda kâr elde etti ve büyük miktarda fon ödünç aldı.
Bu, bazı Merkezi Olmayan Finans (DeFi) projelerinin iş modelinde açıklar olduğunu yansıtıyor. Proje ekipleri, çeşitli ekstrem senaryoları yeterince test etmelidir; kullanıcılar da yalnızca kazançlara bakmak yerine ana paranın güvenliğine dikkat etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022 yılı Merkezi Olmayan Finans büyük kayıplar incelemesi: 8 büyük güvenlik olayı analizi ve önleme önerileri
2022 yılı Merkezi Olmayan Finans güvenlik olayları incelemesi
Yazar: Bir Web3 güvenlik uzmanı
Son zamanlarda, deneyimli bir güvenlik uzmanı topluluk üyelerine Merkezi Olmayan Finans güvenlik dersi verdi. Bu uzman, 2022 yılında Web3 sektöründe meydana gelen önemli güvenlik olaylarını gözden geçirdi, bu olayların sebeplerini ve önleme yöntemlerini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını özetledi ve projeler için ve kullanıcılar için güvenlik önerileri sundu.
İstatistiklere göre, 2022 yılında 300'den fazla blockchain güvenlik olayı meydana geldi ve toplamda 4.3 milyar dolara kadar bir miktar söz konusuydu.
Bu makalede 1 milyar doların üzerinde kayıplara yol açan 8 tipik vaka detaylı bir şekilde tanıtılacaktır. Ankr, kaybı görece daha küçük olmasına rağmen oldukça temsilci bir örnektir.
Ronin Bridge olayı
2022 Mart ayında, Axie Infinity'nin yan zinciri Ronin Network siber saldırıya uğradı ve 173.600 ETH ile 25.5 milyon dolar kaybedildi.
Saldırganlar sosyal mühendislik yöntemleriyle çalışanların güvenini kazanarak kötü amaçlı yazılım yükledi ve nihayetinde 5 doğrulama düğümünden 4'ünü kontrol altına alarak saldırıyı gerçekleştirdi. Bu, şirket içindeki güvenlik bilincinin ve yönetimin sorunlar taşıdığını ortaya koydu.
Wormhole Olayı
Wormhole çapraz zincir köprüsünün Solana tarafındaki sözleşme doğrulama kodunda bir açık bulunmaktaydı, bu da saldırganların "gözetmen" mesajını sahte olarak oluşturarak 120.000 ETH basmasına neden oldu.
Bu esasen bazı kullanımdan kaldırılmış fonksiyonların kullanılmasından kaynaklanmaktadır. Geliştiricilerin en son sürümü kullanmaları ve benzer sorunlardan kaçınmaları önerilir.
Nomad Bridge Olayı
Nomad çapraz zincir köprüsünün Replica sözleşmesi başlatıldığında güvenilir kök 0x0 olarak ayarlandı ve eski kök geçersiz kılınmadı, bu da saldırganların istedikleri mesajları oluşturarak fonları çalmasına neden oldu, yaklaşık 1.9 milyar dolar kayıp.
Bu tipik vaka, başlangıç ayarlarıyla ilgili sorunların ciddi sonuçlar doğurabileceğini göstermektedir. Geçerli işlemlerin tekrar edilebilir olduğu keşfedildiğinde, birçok katılımcı parayı kapmak için yarışa girer ve bu nihayetinde bir "para kapma savaşı" haline dönüşür.
Beanstalk Olayı
Algoritmik stabilcoin projesi Beanstalk, flaş kredi saldırısına uğradı ve yaklaşık 182 milyon dolar kaybetti.
Saldırganlar, proje mekanizmasındaki bir açığı kullanarak, flash loan aracılığıyla büyük miktarda token elde edip kötü niyetli önerileri oylayarak onayladıktan sonra hemen uygulamaktadırlar. Bu, tamamen merkeziyetsiz yönetişimin bazı sorunlarını ortaya koymaktadır; öneri incelemesi, oylama mekanizması, zaman kilidi gibi unsurlar dikkatlice tasarlanmalıdır.
Wintermute olayı
Piyasa yapıcı Wintermute, güvenlik açığı bulunan şık numara üretim aracı Profanity'i kullanarak, sözleşmenin sahibi olan kişinin özel anahtarının kırılmasına ve fonların transfer edilmesine neden oldu.
Bu, açık kaynaklı araçları kullanırken güvenlik risklerini tam olarak değerlendirmemiz gerektiğini hatırlatıyor.
Harmony Bridge Olayı
Harmony çapraz zincir köprüsü Horizon'un kaybı 100 milyon doları aştı, şüpheler Kuzey Koreli hacker grubuna yöneliyor. Saldırı yöntemi Ronin Bridge olayıyla benzerlik gösterebilir.
Ankr Olayı
Ankr, iç çalışanların kötü niyetiyle karşılaştı, bu da büyük miktarda tokenin basılmasına ve satılmasına yol açtı, bu da zincirleme bir tepkiyi tetikledi.
Bu, projenin içindeki yetki yönetimi ve güvenlik sisteminin ciddi sorunlar barındırdığını ortaya koyuyor.
Mango Olayı
Saldırganlar, MNGO adlı küçük bir token'in fiyatını manipüle ederek, sürekli sözleşme platformunda kâr elde etti ve büyük miktarda fon ödünç aldı.
Bu, bazı Merkezi Olmayan Finans (DeFi) projelerinin iş modelinde açıklar olduğunu yansıtıyor. Proje ekipleri, çeşitli ekstrem senaryoları yeterince test etmelidir; kullanıcılar da yalnızca kazançlara bakmak yerine ana paranın güvenliğine dikkat etmelidir.