Blok Zinciri Köprüleri Saldırıya Uğramaya Devam Ediyor. Peki Nasıl Önlenir?

Çapraz-zincirli köprüler, blokzincir alanında birlikte çalışmayı mümkün kılıyor. Protokollerin birbirleriyle iletişim kurmalarını, veri paylaşmalarını ve Web3'ü yeni sınırlara sevk etmeye yardımcı olan heyecan verici yeni kullanım senaryoları oluşturmalarını sağlıyor. Ancak bu ay yaşanan BNB Smart Chain suistimalinin bize hatırlattığı üzere, saldırıya karşı savunmasızlar.

Köprülerin sunduğu potansiyelden yararlanacaksak, onları nasıl koruyacağımızı öğrenmeliyiz.

Köprüler, bu yıl gerçekleşen bir dizi suistimalin ardından Web3'ün zayıf halkası olarak haklı bir ün kazandı. Soyguncuların, varlıkları kamyonetlerle taşınırken hedef almayı tercih etmesi gibi (sofistike güvenlik sistemlerine sahip banka kasalarında tutulmalarının aksine), hackerlar da transfer edilen tokenlerin benzer şekilde savunmasız olduğunu fark ettiler.

Ayrıca önemli miktarda fonun bu kavşaklardan geçtiğini de biliyorlar. 54 milyar dolardan fazla olduğu tahmin edilen toplam varlıklarıyla, özellikle merkeziyetsiz finans (DeFi) cazip bir hedef teşkil ediyor. BNB saldırısından önce bile, 2022 'de DeFi protokollerinden çalınan 2 milyar doların 1,6 milyar dolardan fazlası kripto köprüleriyle ilişkiliydi. Bu suistimallerin büyüklüğü ve düzenli olması, yıkılan köprülerin neden kötü şöhret kazandığını gösteriyor.

• Şubat: Wormhole – 375 milyon dolar
• Mart: Ronin Bridge – 624 milyon dolar
• Ağustos: Nomad Bridge – 190 milyon dolar
• Eylül: Wintermute – 160 milyon dolar

Çalınmış fonların izini süren kalbur üstü analistlerden edindiğim deneyimlere göre (son Wintermute suistimalinde olduğu gibi), blok zincr topluluğunun kolektif çabalarını yoğunlaştırması gereken alanların önleme ve savunma olduğu açık.

Federal Soruşturma Bürosu, yatırımcıları siber suçluların "zincirler arası işlevselliğin karmaşıklığından" yararlandığı konusunda uyardı. Bu durum, köprülerin sadece savunmasız değil, aynı zamanda güvenlik açıkları olduğuna ilişkin mevcut anlatılarla kesinlikle uyumlu.

Ancak suistimalleri önlemenin de yolları var. Washington D.C.'de zamanında siber suçlar görev gücünde çalışmış eski bir FBI analisti olarak, suistimallerin, bir Hollywood filminde görebileceğiniz türden, nadiren şeytani bir şekilde zekice veya sofistike olduğunu söyleyebilirim. Aksine, bunlar genellikle öngörülebilir güvenlik ihlalleri.

Normalde kod hataları veya sızan kriptografik anahtarlar takip edilerek suistimal edilen köprülerin dünyasına bağlı kalmak, genellikle makul derecede karmaşık olmakla birlikte öngörülebilirdir de. Şu suistimallere bir göz atın:

• Sahte para yatırma: Köprüler, bir blok zincirindeki para yatırma hareketlerini başka bir transfer başlatmak için izlerler. Kötü niyetli biri, gerçekten para yatırmadan para yatırmış gibi gösterebiliyor veya değeri olmayan bir tokenle para yatırma işlemi gerçekleştirebiliyorsa, köprüden değer de çekebilir. Ocak ayında Qubit Finans'ta yaşanan yağma, protokolü, saldırganların para yatırmadıkları halde para yatırdıklarını düşündürerek kandırmak için iyi bir örnek.
• Validatör kusurları: Köprüler transferleri onaylamadan önce para yatırma doğrulaması da gerçekleştiriyorlar. Hackerlar bu süreci başarısızlığa uğratabilecek sahte para yatırma eylemlerinde de bulunabiliyorlar. Bu, dijital imza doğrulamasındaki bir kusurun istismar edildiği Wormhole hack'inde meydana gelmişti. Teknik olarak, bu tanıdık bir akıllı sözleşme istismarının örneğiydi. Ama, bunun köprüde olması durumunda, köprünün suçlandığını öğreniyoruz. 
• Validatörü ele geçirme: Bu senaryo, özünde bir kripto para transferinde evet veya hayır oyu vermek için ayarlanmış belirli sayıda validatörü ele geçirmeye dayanıyor. Oyların çoğunluğunu kontrol ederek, saldırgan herhangi bir transferi onaylayabiliyor. Örneğin, Ronin Network hack'inde, köprünün dokuz validatöründen beşi bu şekilde istismar edilmişti.

Bu örneklerden de anlaşılacağı üzere, temel güvenlik önlemlerine değil köprülerin eksikliklerine odaklanmak, makul bir yol değil. Sorun köprülerin kendisi değil; sonuçta teknoloji bilinmezdir. İstismarlara yol açan en yaygın etmen ise insan hatası. Hack eylemlerinden sonra yapılan soruşturmalar ve müteakip önlemler, ancak at kaçtıktan sonra ahır kapısını kapattığımız yönündeki tarihi eğilimimizin ortaya çıkarılmasına hizmet ediyor.

İnsani sorunlar

Soruşturma yürütürken, genellikle suistimallerin hedefleri onlar olduğu için bazı hususları bir proje ekibinin üyeleriyle konuşuruz. Hackerlar her suistimalde nadiren tamamen yeni bir şey denemek yerine bir dizi eski hileye başvururlar.

Toplum mühendisliği veya ayrıcalıklı hesaplara erişmek için insanları hedef almak, bu bağlamda klasik bir olaydır. İnsanlar arkadaşça davranarak gardlarını indirebilirler veya bir sırrı açığa çıkaracak şekilde çok soruyla başkalarının başının etini yiyebilirler.

Kullanıcıların, varlıkları Ethereum ana ağına aktarmasını sağlayan Axie Infinity için inşa edilmiş Ethereum yan zinciri Ronin Bridge'i ele alalım. Köprünün dokuz validatör node'undan beşi oltalamayla istismar edildi. Daha sonra Ronin, "Saldırının temel nedeninin, ağın istismarını kolaylaştıran küçük validatör seti olduğu" yönünde tweet atarak validatör sayısını artıracaklarını duyurdu.

Artık ahır kapıları kapanıyor.

Amaca uygun kod oluşturma yeteneğini etkileyen insani sınırlamalar da görüyoruz. Varlığını sürdüren bir geliştirici eksikliği, hala köprüleri inşa edebilecek ve analiz edebilecek yeterli sayıda uzman olmadığı anlamına geliyor. Tekrar baktığımızda, Wormhole olayının, hackerlara ether (ETH) çıkarma işlemlerine onay veren imza setinin sahtesini yapmalarını sağlayan bir kodlama hatasıyla desteklendiğini görüyoruz.

Eğer bu daha önce keşfedilmiş olsaydı, saldırı yolu kapatılabilirdi. Wormhole'ün çok az destekçisinin olduğunu söylemeye gerek bile yok. Bunun aksine, Ethereum'un çok sayıda büyük geliştirici ekibiyle şimdiye kadar büyük bir hackleme girişimini savuşturduğunu lütfen unutmayın.

Sağlam bir koruma olmadan büyük miktarda varlıkların depolandığı merkezi noktalar ve kolay hedefler olan köprüler saldırılara maruz kalmaya devam edecek. Ancak, sadece köprülerin değil, kötü korunan bağlantılar tarafından her yönüyle riske atılan blokzincirlerin de savunmasız olduklarını hatırda tutmalıyız. Artık eğitilme ve denetlenme zamanı.

Eğitim:

• Blok zinciri güvenliği konusunda sertifikalı bir ders almayı düşünün.
• Sektördeki güncel olaylardan haberdar olun.
• Bir suistimal haberlere düştüğünde, kendi araştırmanızı yapın. Kendi projenize fayda sağlayabilecek ne öğrenebilirsiniz?

Denetim:

• Yeni köprü kodunun piyasaya sürülmeden önce denetlendiğinden ve daha sonra test edildiğinden emin olun.
• Validatör sayısını artırın.
• Sahte para yatırma girişimlerini düzenli olarak kontrol edin.
• Güvenliğe odaklanacak bir personel görev gücü oluşturun
• Denetim yapacak uzmanları istihdam etmeyi düşünün. En yeni çapraz zincir izleme araçlarını kullanıp kullanmadıklarını sorun.
• Yazılım hatası bulana ödül taahhüdü daha fazla alanı korumanıza yardımcı olacaktır.
• Akıllı sözleşme adreslerinin sürekli izlendiğinden emin olun.

Her halükârda, suistimal olayında kripto itibar ve finansal olarak bütünüyle darbe alır. Cevap, hackerların bize defalarca öğrettiği hatalardan ders çıkararak tekrarlanan bu eylemleri önlemek için çabalarımızda daha proaktif olmakta yatıyor.

Köprüler, Web3 altyapısının halihazırda onlarsız yapamayacağımız hayati bileşenleri. Onları daha etkili şekilde savunmalıyız.