Teknoloji
En Kötü Hack Yılından Sonra 2023'te Nasıl Daha İyi Olabiliriz?
OpenZeppelin'den Stephen Lloyd Webber, kripto protokollerinden milyarlarca dolar emen istismar istilası ve Web3 'ün kendisini nasıl daha iyi koruyabileceği hakkında yazdı.
24 Aralık 2022 16:22
Güncellenme: 24 Aralık 2022 16:22
Son 12 ayda kripto sektörü, can sıkıcı bir saldırı ve istismar dalgasına maruz kaldı. Çaresizce ele alınması gerekli bir konu ama, takip edilecek o kadar çok şey meydana geldi ki...
Neyse ki, hala umut var. Protokoller, bir istismar anında kodun denetlenmesi, ağ etkinliğinin izlenmesi ve saldırıya karşı net bir müdahale planının belirlenmesi söz konusu olduğunda stratejilerini geliştirebilirler. Sektör bu korunma yöntemlerini dikkate alır ve uygularsa, 2022 gibi yılların artık geride kalması oldukça muhtemel.
Saldırı patlaması
Chainalysis'e göre 2022, hack'leme ve istismarla çalınan fonlar bakımından kayıtlara en kötü yıl olarak geçme yolunda ilerliyor. Son bilgilere göre toplam 3 milyar dolar çalındı.
Özellikle Ronin'in hack'lenmesi dikkat çekici. Mart ayında Kuzey Kore bağlantılı Lazarus Group, popüler Web3 oyunu Axie Infinity için inşa edilen yan zincir Ronin Network'teki yaklaşık 620 milyon dolarlık ETH ve USDC'ye el koydu.
Asıl şaşırtıcı olan, bu saldırının bir haftadan daha uzun bir süre içinde ortaya çıkmasıydı. Kolluk kuvvetleri çalınan fondan yaklaşık 30 milyon doları kurtarabilirken, Binance ise 5,8 milyon dolarlık kısmı dondurabildi. Ne var ki, fonun büyük bir bölümü hala hacker'ların kontrolünde.
Şubat ayında Wormhole köprüsüne yapılan saldırıyla çalınan fonlar da henüz kurtarılamadı. Ethereum, Solana, Avalanche ve diğer blok zincir ağlarını birbirine bağlayan Wormhole, saldırıya uğrayan ilk köprü değildi ama belki de en dikkat çekeniydi. Bir saldırgan, herhangi bir teminat vermek zorunda kalmadan 120 bin wrapped Ether'i (wETH) bir şekilde mint etmeyi başardı. Daha sonra bu ücretsiz wETH'i normal ETH ve SOL'a dönüştürerek 320 milyon dolar kazandılar. Bu fonlar henüz geri alınmamışken, Jump Trading, tekrar işler hale getirmek istediği Wormhole'da 120 bin ETH dolaşıma sokmak için harekete geçti.
Liste böyle uzayıp gidiyor. Mesela Nomad köprüsü 190 milyon dolar kaybetti. Merkeziyetsiz finans (DeFi) platformu Wintermute 160 milyon dolarlık bir darbeye maruz kaldı. Binance BNB Network köprüsünün bile 100 milyon doları istismar edildi. Kripto hizmetlerini hack'lemelere ve istismarlara karşı daha güvenli hale getirmek için bir şeyler yapılması gerekiyor.
Nasıl İlerleyebiliriz
İyi haber şu ki, işler şimdiki kadar korkunç olmayabilir. 2023 ve sonrasında kripto platformları ve protokolleri savunma önlemlerini artırmak isterse, çok daha az saldırı yaşar veya en azından bunların etkilerini azaltırız. Çeşitli yollarla alınabilecek bu önlemler, bir olay meydana geldiğinde hemen yanıt verecek proaktif sistemlerin yanısıra gelişmiş izleme faaliyetini de içermeli.
Hepsi için geçerli ilk savunma hattı ise, akıllı sözleşme kodunun saygın üçüncü taraf kaynaklar tarafından dikkatlice denetlenmesi. Bu denetimlerin sonuçları, tespit edilen sorunlar ve bunların düzeltilmesi için neler yapıldığıyla birlikte uygun ve şeffaf bir şekilde kamuoyuyla paylaşılmalı.
Ancak, denetlenen ama hack'lenen birçok DeFi platformunda gördüğümüz gibi, tek seferlik güvenlik denetimi yeterli değil. Aksine, kod her güncellendiğinde yeni denetimler yaptırılmalı. Bu, yeni sorunların ortaya çıkmamasını sağlayacaktır. Kodda yapılacak küçük bir değişiklik bile öngörülemeyen sonuçlara yol açabilir. Bundan dolayı ekiplerin, akıllı sözleşmeler geliştirip uygulamaya koyarken daha güvenlik odaklı bir duruş benimsemeleri çok önemli.
Denetimler elzem; ancak yeterli olsalardı, kripto sektörü bu kadar çok istismar yaşamazdı. İyice testten geçirilmiş ve denetlenmiş kodlar bile, ekiplerin potansiyel risk vektörlerine karşı koruma sağlamalarını temin edecek şekilde uygulanması gerekir. Sağlam güvenlik ve ayrıcalıklı hesapların durumu ile sistem bileşenleri ve blok zinciri durumu arasındaki daha kapsamlı ilişkileri takip eden operasyonel izleme olmadan, kullanıcılar fonlarının güvende tutulduğunu düşünemezler.
Bu nedenle, merkeziyetsiz hizmetlerin güvenliği için daha gerçek zamanlı ve proaktif bir yaklaşıma ihtiyaç var. Projelerin, belirli bir platformdaki işlemleri aktif olarak izleyen ve kullanımdaki ani artışlar, fiyat değişiklikleri, kara listeye alınmış hesaplarla etkileşim ve flash loan'lar kullanılarak sunulan yönetişim önerileri gibi anormal veya şüpheli faaliyetleri tespit edebilen sistemlere sahip olması gerekir.
Genelde saldırının ilk net işareti, işlemlerin alışılmadık derecede hacimli olması veya çoğunun çok kısa bir süre içinde aynı adrese yönlendirilmesidir. Bu olayları gerçekleşiyorken tespit edebilmek, ekiplere muhtemel tehditleri sezebilmek için yardımcı olabilir. Ayrıca, bu tür önlemlerin otomatikleştirilmesine, insan faktörünün ortadan kaldırılmasına veya en aza indirilmesine de kapı aralayabilir.
Son olarak şunu ifade edelim; bir tür müdahale sistemi olmadan en detaylı şekilde ayarlanmış operasyonel gözetim ve güvenlik izlemesi bile destek sağlama konusunda sınırlıdır. Sisteme yönelik saldırı vektörlerini kapsamlı şekilde haritalayan bir ekip, gerçek bir güvenlik vakasında verilecek tepkileri önceden çok iyi şekilde planlayabilir. Duman testleri ve kapsamlı planlama, uyarılara dayanarak her ilgili aktörün durumu değerlendirebilmesi ve hızlı şekilde yanıt verebilmesi bağlamında kilit adımlardır. Bu, hasarı durdurma ve tersine çevirmeye yönelik adımların günler veya haftalar değil, saatler, hatta dakikalar içinde atılabileceği anlamına gelir.
Fonların çalınması durumunda bile, hızlı tepki, daha fazla fon kaybını önlemek için hayatidir. Bu, tehlikeye düşebileceği görülmüş olsa bile, protokolün arkasındaki ekibe duyulan güveni artırmaya da katkı sunabilir.
Güvenlik öncelikli bir mantalite, hemen tespit edileceklerinin farkına varan saldırganların ilk etapta bu tür istismar girişimlerinden geri adım atmalarına yardımcı da olacaktır. Topluluğun liderlik ettiği güvenlik izleme eylemleri, bu tür bir takibi teşvik ederek ve herkesin blok zincirdeki protokollerin operasyonel durumunu incelemesine izin vererek, tüm ekosistemin güvenliğinin sağlanmasına katkıda bulunacaktır.
Elbette, her proje için "her soruna uygun tek bir" çözüm yok, ancak tüm protokoller, yinelenen denetimler, ağlarının aktif güvenliği ve operasyonel izlenmesi ile otomatik vaka bildirimi ve müdahale sisteminin bir kombinasyonundan yararlanabilir.
Web3 ekosisteminin Compound Finance ve Matter Labs gibi önde gelen aktörleri tarafından alınan bu tür önlemlerin vazgeçilmez olduğu kanıtlandı. Eğer daha fazla ekip benzer önlemler alırsa, ümit ediyorum 2022, istismar yoluyla en fazla kripto paranın çalınarak rekor kırıldığı son yıl olacak. Sektör bu önlemlere ne kadar fazla ve erken katılırsa, bu olaylar o kadar hızlı ve büyük oranda geçmişte bırakılabilir.
Günün Gelişmeleri İçin E-Bültenimize Abone Olun
E-Bültenimize abone olarak kişisel verileri koruma politikamızı onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.
YASAL UYARI
Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.
Kripto Varlık
Sosyal Meyda Trendi
Trendleri İncele