Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Yazarlar

CONTHACK/ Bir Saldırı Modeli: Merkeziyetsiz Borsa KyberSwap 45 Milyon Dolar Kaybetti!

2022 sonbaharında KyberNetwork bir güvenlik saldırısı daha yaşamış ve balinalara ait 2 cüzdandan 265.000 dolar çaldırmıştı.

23 Kasım 2023 14:55

Güncellenme: 23 Kasım 2023 19:33

Meltem Erdem

Siber Strateji ve yönetişim kapsamında ulusal ve uluslararası birçok yayını bulunmaktadır. Çeşitli Bakanlık, Fintech ve Kripto Varlık şirketinde Siber Güvenlik Yönetişimi ve Strateji süreçlerinin liderliği görevlerinde bulundu. Bilgi güvenliği, siber istihbarat risk yönetişimi, Blockchain Akıllı Kontrat güvenliği, katmanlar arası mimari güvenliği, optimistik data, metaverse sensitive user data & cybercriminals, web 3.0 strateji, ethereum protokol L1 & L2 katman mimarisi güvenliği alanında 13 yıldır ulusal ve uluslararası çeşitli projeler lead etmiştir. Ethereum research platformunda Lead Security Researcher unvanı ile Blok zinciri, kripto varlıklar ve web 3.0 güvenliği projelerinde görev almaktadır. Istanbul Blockchain Women & Blockchain Türkiye oluşumlarında Blocktech – OnChain Researcheri olarak web 3.0 dinamiği içerisinde görev almaktadır. Ayrıca CSA Global ve CSA Türkiye Blockchain Security Governance çalışma grubunda siber güvenlik strateji ve yönetişime ilişkin çerçeve geliştirme çalışmalarında yer almaktadır.  Şu anda Binance US’te Protokol Güvenliği Direktörü olarak görev almaktadır. Aynı zamanda kurucularından olduğu Databulls şirketi bünyesinde siber güvenlik odaklı eğitim ve danışmanlık hizmetleri vermektedir.

KyberSwap, kene manipülasyonu ve likiditenin iki kez sayılması nedeniyle bir saldırıya uğradı ve halihazırda yaklaşık 45 milyon dolarının üzerinde bir kayba yol açtı. Kyber Network, dün gece çok zincirli merkeziyetsiz borsa (DEX) KyberSwap'teki Elastik havuzunun bir "güvenlik olayından" etkilendiğini duyurdu.



Kripto para borsası, kullanıcılarını fonlarını çekmeye yönlendiriyor.


Birkaç blok zinciri siber güvenlik şirketine göre, hackerlar aralarında ARB, MATIC ve ETH'nin de bulunduğu yaklaşık 45 milyon dolarlık token çaldı. Ama saldırı boyutu göründüğünden daha fazlası…


Saldırı detayına inecek olursak, hackerların saldırıyı zincirler arası protokol katmanları içerisinde çalışan sözleşmelerde eksiltme yoluyla veriyi değiştirme ve geri dönülemez şekilde bozarak zincire zarar verme metoduyla gerçekleştirdiklerini gözlemliyoruz. 


Konuyu inceleyen Certik uzmanı, saldırganların on-chain mesaj yoluyla ödül için pazarlık yapmaya başladıklarını belirtti.


Hatırlatmakta fayda var; 2022 sonbaharında KyberNetwork bir güvenlik saldırısı daha yaşamış ve balinalara ait 2 cüzdandan 265.000 dolar çaldırmıştı.


Akıllı Sözleşme Saldırısına Genel Bakış

Saldırgan adresi: 0x50275e

İstismar edilen sözleşme: 0xfd7b11

Saldırı işlemi: 0x485e08 



Saldırı Sözleşmesindeki Güvenlik Açığı Metodu

  • KyberSwap'teki saldırının temel nedeni, onay ayarlamalarını ve likiditenin iki kez sayılmasını içeren manipülatif eylemlerden kaynaklandı.

  • Saldırganlar, düşük likiditeye sahip havuzları tüketmek için flaş kredi kullandı.

  • Takaslar ve stratejik konum değişiklikleri uygulayarak, hedeflenen havuzlardaki geçerli fiyatlara ve tiklere müdahale ettiler.

  • Saldırganlar, çift likidite sayımına neden olmak için birden fazla takas adımı ve çapraz işaret operasyonları başlattı.

  • Sonuç olarak, havuzlar bu planlı eylemler dizisiyle etkili bir şekilde boşaltıldı.

Akıllı sözleşmelerinizi örnek verdiğim gibi saldırı modellerinden korumak için savunma amaçlı teknolojiler kullanmalı ve saldırganların bu güvenlik açıklarından nasıl yararlandığını deneyimli protokol güvenliği uzmanlarından danışmanlık almanız gerekir.


Akıllı sözleşmelerin doğru yazılması, kullanılması ve dayanıklılığı çok önemlidir. KyberSwap hackine neden olan Solidity'deki güvenlik açıklarını birkaç madde ile özetlemek istiyorum:


1-) Re-Entrancy

Yeniden giriş saldırılarında blok zinciri ağına kötü amaçlı sözleşmelerin yerleştirilir ve kötü amaçlı sözleşmenin hedef sözleşmeyi manipüle ederek varlıkların kendisine gönderilmesi sağlanır. (2016 yılında gerçekleşen Ethereum saldırısı bu yöntemle yapılmıştır.)



Saldırganlar, hedef sözleşmenin çekim kabiliyetine erişebilmesi için başka bir sözleşmeyi çağırabilir. Ancak çağrı sözleşmesi aynı çekim fonksiyonunu çağırırsa, şiddetli geri dönüş aynı çekim fonksiyonu tekrar tekrar çağırabilir. Bu işlem sırasında, sözleşmedeki bakiye güncelleme işlemi tamamlanamadığı için kalıcı olabilir.


Bu tür saldırıları önlemek için yazılımcıların “check-efekt-interact” prensibini izlemesi gerekir. Bu prensibe göre bir fonksiyon içinde etkileşime geçmeden önce kontroller yapılmalıdır. Ek olarak akıllı sözleşmelerde temel hayatta kalmanın özellikle fon çekme işlemlerinin uygun şekilde yapılması gerekir.


2-) Aritmetik Aşırı/Düşük Akışlar

Bir işlemin sonucu olan bir sayının değeri bir değişkenin belirtilen süreçlerin büyük veya küçük olması durumunda ortaya çıkar. Bu da beklenmeyen davranışlara ve hatta sözleşme hatalarına yol açabilir. Yazılımcılar, mevzubahis sorunu önlemek için SafeMath kitaplığını kullanabilir. Kütüphane aritmetik işlemleri için taşma/eksik koruma sağlayarak bu tür işlemlerinin gerçekleştirilmesini engeller.


3-) Unexpected Ether

“Beklenmeyen Ether”, sözleşme tasarımı veya bitmesi nedeniyle Ethereum (ETH) tutarlarının yanlışlıkla bir sözleşme hesabına gönderilebileceği akıllı sözleşmelerle ilgili bir sorundur. Bu sözleşmelerin beklenmedik şekilde davranmasına hatalar ortaya çıkabilir ve hatta para kaybına neden olabilir. Beklenmeyen ether, kendini yok eden anahtar kelime veya harici bir sözleşme geri dönüş fonksiyonundaki kötü amaçlı kod dahil olmak üzere bir dizi nedenden kaynaklanabilir.


Bu tür bir saldırı, yalnızca hedeflenen alıcının aldığı bir para çekme modeli kullanılarak önlenebilir. Bu mod para çekme işlemleri için sözleşme kontrollü değişkenleri kullanır. Böylece tesadüfen ether'in dolaşımının sağlanmasına yardımcı olur.


4-) Delegatecall

Bir sözleşmenin başka bir sözleşmeye ait kodu çalıştırmasına izin veren güçlü bir özelliktir. Ancak çağıran giriş sözleşmesinin kopyaları düzgün bir şekilde sürdürülmezse çağıran sözleşmenin dağıtılmasının kötü amaçlı kullanılması mümkündür. Bu saldırıyı önlemek için herhangi bir değişiklik yapılmadan önce verilerin saklanması gereklidir. Bu nedenle kötü amaçlı kodun kapsamı sınırlıdır.


5-) Default Visibilities

Varsayılan görünürlükler, bir geliştirici bir görünümün görünme durumu özel olarak veya dahili olarak belirtiyi unuttuğunda ortaya çıkar. Bu durumda fonksiyon, varsayılan olarak herkese açık kalır, herkes tarafından çalıştırılabilir ve saldırganlar depolamayı kullanarak sözleşmeyi bozabilir. Bu tür saldırıların önlenmesi için işlevin açıkça beyan edilmesi zorunludur.


6-) Entropi Yanılsaması

Geliştiriciler rastgelelik elde etmek için potansiyel olarak öngörülebilir bir rastgelelik kaynağı (sonraki çoğalmanın karması gibi) kullandığında, saldırganlar bir sonraki rastgele değeri tahmin ederek sözleşmeleri manipüle edilebilir. Bu saldırı için birden fazla rastgele üretim tabanlı bir rastgele sayı kullanılır.


7-) Zaman Damgası Manipülasyonunu Engelle

Saldırganlar, block timestamp manipulation (blok zaman damgalarını manipüle) etmek için akıllı sözleşmelerdeki zamana dayalı kilitleme girişi gibi mevcut ilgili özellikleri kullanabilir. Bu saldırıyı önlemek için güvenilirliğinden emin olduğunuz bir kaynağa dayalı bir zaman damgası kullanabilirsiniz.


8-) İşaretlenmemiş CALL Dönüş Değerleri

“Kontrolsüz CALL dönüş değeri”, Solidity'deki bir güvenlik açığıdır. Burada düşük seviye aramanın dönüş değeri kontrolü yapılmaz. Bu sorunun önlenmesi için düşük seviyeli aramaların dönüş değeri her zaman kontrol edilmelidir.


9-) External Contract Referencing

Harici sözleşme referansı (dış sözleşme referansı) bir sözleşmenin bir saldırgan tarafından manipüle edilebilen bir dış adresle iletişime bağlanmasıdır; bu durumda zararlı olanı kötü amaçlı kod yürütmek için kullanabilir. Bu saldırıyı önlemek için her zaman sözleşme adreslerini doğrulamalı ve güvenilir sözleşmelerden oluşan bir whitelist kullanmalısınız.


Blok zinciri teknolojisi, güvenli bir dağıtım yapısı oluşturmak için tam bir yığın deposu! Ancak güvenlik açıkları nedeniyle akıllı sözleşmelerin dikkatli yazılması ve yönetilmesi kritiktir. Bu nedenle kod base içerisinde özellikle Solidity gibi bir akıllı sözleşme dili kullanılırken güvenlik her zaman birinci öncelik olmalıdır.


Saldırı Oranını Azaltma ve Çözüm Önerileri

  1. Olası business mantığı dahilinde kapsamlı test senaryoları (yukarıdaki 9 madde) yazarak kodunuzu her zaman doğrulayın.

  2. Bu tür güvenlik açıklarını önlemek için en iyi Akıllı Sözleşme denetçilerinin sözleşme içerisindeki mantıksal sorunlar açısından incelemesi gerekir. Kurum içerisinde Cyber Govarnance kültürünün oluşturulması gerekmektedir.

  3. En iyi uygulamaları takip edip en güncel güvenlik teknikleriyle güncel kalarak daha güvenli ve güvenilir akıllı sözleşmeler oluşturabilirsiniz. Ekosistem içerisinde rolünüz ne olursa olsun güncel kalmaya özen göstermelisiniz.

  4. Akıllı sözleşme saldırılarının önüne geçmek için muhakkak bağımsız denetçi tarafından ilgili protokoller ve protokollere bağlı çalışan kontratlar denetlenmelidir. 

Akıllı sözleşme denetimlerinin önemini saldırı boyutlarıyla ele aldığım detaylı yazıma  buradan ulaşabilirsiniz.


Akıllı sözleşmelerin ve protokollerin çalıştığı (DeFi) mimarilerin, hack oranlarının yıl içerisinde yüzde 38 arttığı bu dönemde; kodların ve protokollerin karmaşık dansında blok zinciri güvenlik denetimi lüks değildir; bir zorunluluktur.




Daha Fazla Oku

    defiDEXhackkyberswap

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

Siber Strateji ve yönetişim kapsamında ulusal ve uluslararası birçok yayını bulunmaktadır. Çeşitli Bakanlık, Fintech ve Kripto Varlık şirketinde Siber Güvenlik Yönetişimi ve Strateji süreçlerinin liderliği görevlerinde bulundu. Bilgi güvenliği, siber istihbarat risk yönetişimi, Blockchain Akıllı Kontrat güvenliği, katmanlar arası mimari güvenliği, optimistik data, metaverse sensitive user data & cybercriminals, web 3.0 strateji, ethereum protokol L1 & L2 katman mimarisi güvenliği alanında 13 yıldır ulusal ve uluslararası çeşitli projeler lead etmiştir. Ethereum research platformunda Lead Security Researcher unvanı ile Blok zinciri, kripto varlıklar ve web 3.0 güvenliği projelerinde görev almaktadır. Istanbul Blockchain Women & Blockchain Türkiye oluşumlarında Blocktech – OnChain Researcheri olarak web 3.0 dinamiği içerisinde görev almaktadır. Ayrıca CSA Global ve CSA Türkiye Blockchain Security Governance çalışma grubunda siber güvenlik strateji ve yönetişime ilişkin çerçeve geliştirme çalışmalarında yer almaktadır.  Şu anda Binance US’te Protokol Güvenliği Direktörü olarak görev almaktadır. Aynı zamanda kurucularından olduğu Databulls şirketi bünyesinde siber güvenlik odaklı eğitim ve danışmanlık hizmetleri vermektedir.

Siber Strateji ve yönetişim kapsamında ulusal ve uluslararası birçok yayını bulunmaktadır. Çeşitli Bakanlık, Fintech ve Kripto Varlık şirketinde Siber Güvenlik Yönetişimi ve Strateji süreçlerinin liderliği görevlerinde bulundu. Bilgi güvenliği, siber istihbarat risk yönetişimi, Blockchain Akıllı Kontrat güvenliği, katmanlar arası mimari güvenliği, optimistik data, metaverse sensitive user data & cybercriminals, web 3.0 strateji, ethereum protokol L1 & L2 katman mimarisi güvenliği alanında 13 yıldır ulusal ve uluslararası çeşitli projeler lead etmiştir. Ethereum research platformunda Lead Security Researcher unvanı ile Blok zinciri, kripto varlıklar ve web 3.0 güvenliği projelerinde görev almaktadır. Istanbul Blockchain Women & Blockchain Türkiye oluşumlarında Blocktech – OnChain Researcheri olarak web 3.0 dinamiği içerisinde görev almaktadır. Ayrıca CSA Global ve CSA Türkiye Blockchain Security Governance çalışma grubunda siber güvenlik strateji ve yönetişime ilişkin çerçeve geliştirme çalışmalarında yer almaktadır.  Şu anda Binance US’te Protokol Güvenliği Direktörü olarak görev almaktadır. Aynı zamanda kurucularından olduğu Databulls şirketi bünyesinde siber güvenlik odaklı eğitim ve danışmanlık hizmetleri vermektedir.

Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Scroll’daki DeFi Yolculuğunuz Session One ile devam ediyor

21 Haziran 2024 23:39

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk