Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Yazarlar

Code4rena’nın Özgün Akıllı Sözleşme Denetimi Metodu

Akıllı sözleşmelerin güvenliğinin nasıl sağlandığını inceleyelim.

24 Ekim 2023 10:51

Güncellenme: 24 Ekim 2023 11:26

Eren Bozbulut

Ethereum Sanal Makinesi ve Merkeziyetsiz Finans protokollerine teknik düzeyde ilgi duyan Eren Bozbulut, Akıllı Kontrat Güvenlik Araştırmacısı ve Türkiye'nin en büyük Web3 geliştirici topluluğu Buildchain'de Topluluk Yöneticisidir. Blockchain ile ilgili içeriklerin Türkçe'ye çevrilmesine gönüllü katkı sağladı, Vitalik Buterin'in kişisel blog'una Türkçe kategorisini ekledi ve çeviriler yayınladı. Blockchain teknolojisi ile 2017 yılında Ethereum madenciliği yaparak tanıştı, 2021 yılında Non-Fungible Token'ların farklı kullanımlarıyla ilgilendi ve daha önce Fabrika Games'te Hiperbasit oyunlar tasarladı.

Twitter'da Takip Et:

@notereneth

Akıllı sözleşmeler, Web3 dünyasının temel taşıdır. 


Genellikle Solidity programlama dili ile yazılan bu akıllı sözleşmeler, dijital varlıkların yönetimi ve takası gibi pek çok önemli süreci merkeziyetsiz, otonom, anonim ve dünyanın her yerinden erişilebilir hale getirmek için kullanılır. Akıllı sözleşmelerin pek çok yaratıcı kullanım alanı da olmakla beraber, genellikle tokenlerin oluşturulması ve yönetilmesi, yani finans aracı olarak kullanılır. Akıllı sözleşmeler bir finans aracı olarak kullanıldığı için, doğal olarak Web3'ün varlık hacmini sırtlarında taşıyorlar. Örneğin, en popüler merkeziyetsiz finans (DeFi) uygulamalarından birisi olan Uniswap'ın akıllı sözleşmelerindeki toplam kilitli değer miktarı an itibariyle 3,023 milyar dolar. Bu durumda akıllı sözleşmelerin oldukça güvenli olmasını isteriz, değil mi? Kötü haber, bazı projelerin takımları geç ders çıkarıyor. Bütün kullanıcılarının varlıkları ve proje takımının bütün itibarı o kod satırlarının sağlamlığına dayanıyorken, projelerin geçmek zorunda oldukları basit bir süreç var: Akıllı sözleşme denetimi.


Akıllı sözleşme denetimi nedir?

Akıllı sözleşmeler ve denetim gibi kelimeleri duyduğunuzda aklınızda hukuksal durumlar canlanıyor olabilir ama aslında akıllı sözleşmeler bir programdır ve akıllı sözleşme denetimleri de beyaz şapkalı hackerların programdaki güvenlik açıklarını bulup raporlamasından ibarettir. 


Web3 projeleri genellikle bütçesine uygun olan herhangi bir akıllı sözleşme güvenliği şirketi veya takımı ile anlaşır ve ileride çıkaracakları protokollerini, yani akıllı sözleşmeler bütününü, inceletirler. Bu incelemenin sonucunda bir rapor hazırlanır ve bu rapordaki güvenlik açıklarını kapatmak üzere akıllı sözleşmeleri güncellerler. Bu, oldukça önemlidir çünkü akıllı sözleşmeler özellikle güncellenebilir bir şekilde tasarlanmadıysa bir kez blok zincirine eklendikten sonra değiştirilemez ve zaten kullanıcılar da güvencelerini bu durumdan alırlar.


Akıllı sözleşmelerin güvenliğini sağlamak için elbette tek yol yoktur, Web2’den aktarılan bir güvenlik modeli olan “Bug Bounty” ve Code4rena’nın getirdiği yenilikçi “Audit Contest” yaklaşımları ile birlikte bir sürü farklı güvenlik modeli bulunuyor. Code4rena’ya geçmeden önce daha geleneksel bir yöntem olan “Bug Bounty Platform” konseptini anlayalım. Bug Bounty platformları, kuruluşların veya projelerin platforma gelip proje dosyalarının belli bir kısmını incelemeye açması, güvenlik açığı seviyelerini standartlaştırılmış formüllere göre hesaplayarak ödüller belirlemesi ve beyaz şapkalı hackerların platforma gelip buldukları açıkları raporlayarak ödeme alması yaklaşımı ile çalışıyor.


Code4rena nedir ve neden farklı?

Code4rena Web3 ekosistemi için bir güvenlik denetimi platformudur. Aynı Bug Bounty platformlarında olduğu gibi projeleri ve güvenlik uzmanlarını buluşturan bir platform, ancak yarışma konseptini kullanıyor.


Code4rena’da projeler bir ödül havuzu belirler ve kısıtlı bir süre boyunca proje dosyaları platformda incelemeye açılır. Yarışmacılar bu süre içerisinde buldukları bütün güvenlik açıklarını ve hatta isterlerse gaz optimizasyonlarını da raporlarlar. Bug Bounty platformlarından farklı olan ve bana kalırsa en can alıcı nokta ise, bir başkasıyla aynı güvenlik açığını raporlayan yarışmacılar dahil herhangi bir güvenlik açığı raporlayan bütün yarışmacılara ödeme yapılması! Bu gerçekten de ilginç bir yaklaşım, “önce raporlayan kazanır” mantığı yerine emek harcayan bütün güvenlik uzmanlarını ödüllendiriyor. Peki ama, ya aynı kişi birden fazla hesap açar ve aynı güvenlik açığını raporlayarak fazladan ödül kazanmaya çalışırsa? Tabii ki böyle bir duruma izin verilmiyor, çünkü ödüller bütün yarışmacılar arasında paylaştırılıyor ve bu yüzden kimsenin bulmadığı bir güvenlik açığını bulan yarışmacı çok daha fazla ödüllendiriliyor. Ödüllendirme, aşağıdaki formül ile hesaplanıyor:


  • Orta Seviye Güvenlik Açığı Hissesi: 3 * (0.9 ^ (Bulunuş Sayısı - 1)) / Bulunuş Sayısı
  • Yüksek Seviye Güvenlik Açığı Hissesi: 10 * (0.9 ^ (Bulunuş Sayısı - 1)) / Bulunuş Sayısı


Bulunuş Sayısı, aynı spesifik güvenlik açığına ilişkin bulguların sayısını temsil ediyor.


Formülden de anlaşıldığı gibi, bir güvenlik açığını ne kadar çok kişi bulduysa kişiye düşen pay o kadar azalıyor.


Code4rena, genellikle henüz çıkış yapmamış projelerin veya projelerin henüz yayınlanmamış olan yeni sürümlerinin denetimi için kullanılıyor. Denetim sayesinde potansiyel kaybın önüne geçmiş ve daha sağlam bir kod tabanına sahip oluyoruz. Çıkış yapmış olan ve halihazırda kullanımda olan projeler için ise Bug Bounty konseptine dönmemiz gerekiyor, çünkü kullanımda olan projelerin süre kısıtlaması olan bir yarışma yapıp kod tabanlarını güncellemekten daha kapsamlı bir çözüme ihtiyacı var. Bug Bounty platformları süre kısıtlamasını kullanmayarak beyaz şapkalı hackerların herhangi bir zamanda gelip bir güvenlik açığı raporlayabilmesini ve bütün sürecin daha sağlıklı bir şekilde yönetilmesini sağlıyor. 


Elbette, bir güvenlik uzmanı büyük hacimli bir projede güvenlik açığı bulduğunda proje ekibinin panik yapması olasıdır ve böyle durumlarda hacker ile doğrudan iletişime geçmek yerine Bug Bounty platformu aracılığıyla iletişime geçilmesi proje ekibini ve yatırımcıları çok daha güvende hissettirir. Şu an, Web3 ekosistemindeki en büyük Bug Bounty platformu, dünyanın en büyük Bug Bounty ödemelerini yapmış olması ile ünlü olan Immunefi. Çoğu zaman büyük bir Web3 projesinin hacklenmesi durumunda yaşayacağı finansal kayıp, başka herhangi bir yazılımın hacklenmesine kıyasla oldukça fazla olacağı için Immunefi beyaz şapkalı hackerlara yüksek ödeme yapılmasını teşvik ediyor. Finansal kayıp durumunun yanı sıra, blok zincirlerinde anonimliği sağlamanın kolaylığı sebebiyle bir güvenlik açığını sömürmek veya bilinçli bir şekilde raporlamak hackerın vicdanına kaldığı için ödemelerin yüksek olması neredeyse şart. Immunefi, bunun için oldukça faydalı olduğunu düşündüğüm “%10 kültürü”nü getirdi. Bu, kullanıcıların varlıklarını etkileyecek son derece kritik bir hata olduğunda “doğrudan etkilenen fonların %10'unu ödül olarak vermek” anlamına geliyor. Ayrıca şu ana kadar verilmiş en yüksek Bug Bounty ödülü, Wormhole Bridge’in Immunefi platformu üzerinden yalnızca bir güvenlik uzmanına 10 milyon dolar vermesi ile gerçekleşti.


Hangi güvenlik modeli tercih edilmeli?

Hepsi. Yeterli bütçeye sahip bir proje, çıkış yapmadan önce kesinlikle bir güvenlik şirketinden denetim almalı ve Code4rena, Sherlock veya yeni çıkan CodeHawks gibi herhangi bir platformda yarışma yaptırmalı. 


Proje çıkış yaptıktan sonra belirli bir hacim seviyesine geldiğinde ise herhangi bir Bug Bounty platformuna katılmalı. Akıllı sözleşmeler finansın geleceğidir, geleceğin temellerini sağlam bir şekilde inşa etmek zorundayız!




Daha Fazla Oku

    akıllı sözleşmelercode4renasolidityweb3

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

Ethereum Sanal Makinesi ve Merkeziyetsiz Finans protokollerine teknik düzeyde ilgi duyan Eren Bozbulut, Akıllı Kontrat Güvenlik Araştırmacısı ve Türkiye'nin en büyük Web3 geliştirici topluluğu Buildchain'de Topluluk Yöneticisidir. Blockchain ile ilgili içeriklerin Türkçe'ye çevrilmesine gönüllü katkı sağladı, Vitalik Buterin'in kişisel blog'una Türkçe kategorisini ekledi ve çeviriler yayınladı. Blockchain teknolojisi ile 2017 yılında Ethereum madenciliği yaparak tanıştı, 2021 yılında Non-Fungible Token'ların farklı kullanımlarıyla ilgilendi ve daha önce Fabrika Games'te Hiperbasit oyunlar tasarladı.

Twitter'da Takip Et:

@notereneth

Ethereum Sanal Makinesi ve Merkeziyetsiz Finans protokollerine teknik düzeyde ilgi duyan Eren Bozbulut, Akıllı Kontrat Güvenlik Araştırmacısı ve Türkiye'nin en büyük Web3 geliştirici topluluğu Buildchain'de Topluluk Yöneticisidir. Blockchain ile ilgili içeriklerin Türkçe'ye çevrilmesine gönüllü katkı sağladı, Vitalik Buterin'in kişisel blog'una Türkçe kategorisini ekledi ve çeviriler yayınladı. Blockchain teknolojisi ile 2017 yılında Ethereum madenciliği yaparak tanıştı, 2021 yılında Non-Fungible Token'ların farklı kullanımlarıyla ilgilendi ve daha önce Fabrika Games'te Hiperbasit oyunlar tasarladı.

Twitter'da Takip Et:

@notereneth

Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Güne Bakış: Bitcoin Yarılanması Kapıda, Fiyatlar Yükseliyor

19 Nisan 2024 16:57

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk