Blok zinciri teknolojisi giderek daha popüler hale geldikçe Web2 ile Web3 arasındaki çizgi inceliyor. 

Doğal olarak daha fazla insan azami merkeziyet, blok zinciri ve kriptoyla ilgileniyor. En güçlü çekim noktası belki de merkezi olmayan finans (DeFi). 

Getirileri ve fırsatları onu Web3'e mükemmel bir giriş kapısı haline getiriyor. Ancak akıllı sözleşmelerin karmaşıklığının artmasıyla birlikte hacklenme ve güvenlik açıkları riski de arttı. DeFi'de büyük miktarda girdi (para) var ve bu da onu hackerlar için özellikle cazip kılıyor. Tüm bunlar, kriptoya ve DeFi'ye adım atmak isteyen birçok kişinin güvenini azaltıyor.

DeFi Güvenliğinin Çalkantılı Sularında Gezinmek

Merkezi olmayan finans, hackerların ve diğer kötü niyetli oyuncuların en açık hedefi olmuştur. Yalnızca 2023 yılında, yatırımcılara ve protokollere milyarlarca dolara mal olan çok sayıda önemli hack ve güvenlik açığı istismarına tanık olduk.

İşte 2023'te öne çıkan birkaç kötü amaçlı oyun örneği:

• Euler Finance hacklemesi: Mart 2023'te, kredi protokolü Euler Finance, ani bir kredi saldırısında 197 milyon dolar karşılığında hacklendi . Saldırgan DAI, USDC, stake edilmiş Ether (StETH) ve sarılmış Bitcoin (WBTC) cinsinden milyonlar çaldı. Daha sonra hacker vicdan azabına yenik düştü, 120 milyon doların üzerindeki parayı protokole iade etti ve blok zinciri üzerinden gönderdiği bir dizi mesajla özür diledi.
  
  
• MultiChain istismarı : Temmuz 2023'te, zincirler arası köprü protokolü Multichain, içeriden kişiler tarafından yapılan bir hack veya hile gibi görünen alışılmadık derecede büyük, yetkisiz para çekme işlemleriyle karşılaştı ve birçok ekosistem katılımcısını şaşkına çevirdi. Olay, 231 milyon dolardan fazla kayba yol açtı ve bu da onu tarihteki en büyük kripto saldırılarından biri haline getirdi. Beklenmedik çıkışlar Multichain'in Fantom köprüsünün neredeyse tüm WBTC, USDC, USDT ve bir avuç altcoin'den mahrum kalmasına neden oldu.
  
  
• Mixin Network saldırısı : Son zamanlarda Hong Kong merkezli merkezi olmayan zincirler arası transfer protokolü olan Mixin Network, kendisini bir saldırının kurbanı olarak buldu. Protokolün uğradığı kesin kayıplar henüz doğrulanmadı ancak yaklaşık 200 milyon dolar olduğu tahmin ediliyor. Olay, bu yılın en önemli kripto soygunlarından biri ve bu olaydan kötü şöhretli Lazarus grubunun sorumlu olduğuna dair anında şüphe yarattı.
  
  

Son yıllarda gördüğümüz bazı saldırılar zayıf anahtar yönetimi, kimlik avı ve sosyal mühendislik nedeniyle gerçekleşti; ancak diğer istismarlar, bunlara yol açan güvenlik açıkları zamanında tespit edilip yamalansaydı kolayca önlenebilirdi.

Bu, blok zinciri tabanlı uygulamaların güvenliğini ve güvenilirliğini sağlamada akıllı sözleşme denetimlerinin önemini vurgulamaktadır.

Akıllı sözleşme güvenliği neden bu kadar önemli?

Akıllı sözleşmeler, anlaşmaları aracılar olmadan otomatikleştiren ve yürüten DeFi'nin ruhudur. Yine de yenilmez değiller. Daha önce de belirttiğimiz gibi, tek bir güvenlik açığı Asil’in topuğu olabilir ve önemli mali kayıplara ve itibarın zedelenmesine yol açabilir. Sonraki her güvenlik olayı, kimsenin bağışık olmadığının kesin bir hatırlatıcısıdır.

Dahası, güvenlik riskinin azaltılması, bu yılın başlarında Vyper derleyici yeniden giriş saldırısında gördüğümüz gibi, ayarlanıp unutulacak bir şey değildir. Saldırı vektörü yaygın değildi ve hackerları, milyonlarca kişinin tehlikede olduğu büyük bir protokol için istismar edilebilir bir sorun bulmak amacıyla Vyper sürüm geçmişini derinlemesine araştırdı. Derleyicinin eski bir sürümünde bulundu ve sonraki tüm sürümlerde düzeltildi.

Üstelik bu hack, piyasadaki en büyük DeFi kredilendirme protokollerini etkilediği için bir çığ gibi yakın çağrılara ve potansiyel tasfiyelere yol açtı. Bu, sonucun tüm Web3 endüstrisi için potansiyel olarak harap olabileceği anlamına geliyor.

Bunun gibi olayların yaşanmasını önlemek için akıllı sözleşmeler düzenli olarak, ideal olarak birden fazla bağımsız denetçi tarafından denetlenmelidir.

Peki projeniz için en uygun blok zinciri güvenlik denetçilerini nasıl belirlersiniz? Hadi biraz da bu konuya odaklanalım.

Sizin için en iyi blok zinciri/kripto varlıklar güvenlik denetim firmasını nasıl seçersiniz?

Günümüzde blok zinciri güvenliği sunan birçok şirket var. Peki dApp'iniz, protokolünüz veya projeniz için hangisinin en iyi işi yapacağını nasıl bileceksiniz?

Aramanız gereken özellikleri birkaç konu başlığı altında ele aldım.

1. Uzmanlık : Bir bağımsız denetim ya da güvenlik denetim şirketiyle sözleşme imzalarken, blok zincirinin karmaşıklığını ve inceliklerini anladıklarından, bilinen ve bilinmeyen her türlü güvenlik açığını arayacaklarından emin olmanız gerekir. Denetlenmesi gereken son derece spesifik bir kodunuz varsa (örneğin, bir kripto cüzdanının akıllı sözleşmeleri, bir borç verme protokolü, bir ZK devresi vb.), bu belirli kapsamda oldukça spesifik deneyime sahip bir şirket aramanız gerekir. Aynı şey programlama dilleri için de geçerlidir; akıllı sözleşmeleriniz Solidity'de yazılmışsa Solidity konusunda uzmanlığa sahip bir denetçi aramanız gerekmektedir.
   
   
2. İtibar ve başarı geçmişi : Bazen birden fazla şirket tarafından denetlenen projelerde, birden fazla hack ve istismarın gerçekleştiğini gördük. BDO Siber Strateji ekibi olarak bizler günlük çalışmalarımızda sıklıkla diğer denetçilerin gözden kaçırdığı yüksek önemdeki hataları yakalarız. Hack'ler denetlenen projelerin başında gelebilir ve hiç kimse blok zinciri ekosisteminden yararlanmanın yaratıcı yollarına karşı sigortalı değildir. Ancak denetimlerden sonra birden fazla müşterisinin saldırıya uğradığına ilişkin bir kaydı olan bir şirket görürseniz, bu şirketin kapsamlı bir iş yapmak yerine üstünkörü sözleşme güvenliğini onayladığının açık bir işaretidir. Bu kapsamdaki vakayı bir önceki deneyimim olan kripto varlık şirketinde soğuk cüzdan içerisindeki protokolleri denetlerken tespit etmiştim ve raporum sonrası YK seviyesinde hızlıca aksiyon alınmıştı. Çünkü oldukça hacklenmeye açık bir kritik senaryoydu.
   
   
3. Beceriklilik : Blok zinciri güvenlik şirketlerinin çoğunluğu geleneksel denetimlere odaklanır. İdeal olarak, elindeki tüm araçları kullanan bir denetçiye ihtiyacınız vardır. Günün sonunda herhangi bir insan, denetimde ne kadar iyi olursa olsun, deep security dediğimiz uç senaryoları kaçırabilir. Manuel denetim + otomasyon odaklı güvenlik araçlarından oluşan hibrit bir model, süreci çok daha etkili ve verimli hale getirir.
   Örneğin BDO’da insan liderliğindeki denetimleri, oluşturduğumuz otomatik güvenlik açığı tespit araçlarıyla birleştiriyoruz (bunlar hem program analizini hem de resmi doğrulamayı kullanıyor). Denetçilerimiz tarafından yapılan çalışmaları, geliştirmekte olduğumuz güvenlik ürün paketiyle elimine etmek, bu yaklaşımlardan yalnızca birini kullanıyor olsaydık yakalayacağımız hatalardan çok daha fazla sayıda saldırı vektörünü tanımlamamıza yardımcı olacaktır. Dahası, tüm bu yöntemleri birleştirerek, çok daha çeşitli güvenlik açıklarını (birçoğu önemsiz değil!) tespit edebiliyoruz.
   
   
4. Şeffaflık ve açık iletişim: Denetim süreçleri konusunda şeffaf olan ve bulguları hakkında ayrıntılı raporlar sunan bir denetçi aramanız gerekmektedir. Denetiminiz için net beklentiler ve zaman çizelgesi belirlediklerinden emin olmak için denetim şirketinizle açık bir iletişim hattına sahip olduğunuzdan emin olun. Son olarak, ilk denetim raporundan sonra size destek sağlayacak, yani bu ilk rapora dayanarak uyguladığınız hata düzeltmelerini denetleyecek bir şirketle anlaşmanız süreç yönetimi için katma değerli bir model olacaktır.
   
   

Akıllı sözleşme denetiminden neler beklenmeli?

Akıllı sözleşme denetimi, potansiyel güvenlik açıklarını ve zayıf noktaları belirlemek için kodun kapsamlı bir şekilde incelenmesini içeren titiz bir süreçtir.

Farklı şirketlerin farklı yaklaşımları vardır ancak burada denetim sürecinde beklemeniz gereken genel aşamaları anlatmaya çalıştım:

1. Denetimin kapsamını ve zaman çizelgesini belirlemek. Denetçinizle birlikte denetim için gerçekçi bir zaman çizelgesi belirleyebilmeniz için denetçilerin inceleyeceği kapsamı ve sözleşmeleri tam olarak belirlemek önemlidir.
   
   
2. Kod incelemesi: Burası denetçinin projenizin belgelerini derinlemesine inceleyeceği ve potansiyel güvenlik açıklarını ve zayıf noktaları belirlemek için akıllı sözleşmelerin kodunu inceleyeceği yerdir.
   
   
3. İlk denetim raporu ve önerilen hata düzeltmeleri: Denetçi kodun incelemesini ve testini tamamladığında size bulgularının ayrıntılı bir raporunu sunmalıdır. Raporun, denetim sırasında keşfedilen hataları düzeltmeye yönelik eyleme geçirilebilir bilgiler içerdiğinden emin olmalısınız.
   
   
4. Hata düzeltmeleri : Denetlenen müşterinin tekrar devreye girip denetçi tarafından bildirilen güvenlik açıkları için yamalar ve düzeltmeler uyguladığı bölümdür.
   
   
5. Nihai denetim raporu: Bu adımda denetçi, müşteri tarafından uygulanan hata düzeltmelerini doğrular ve nihai denetim raporunu yayınlar.
   
   

Akıllı sözleşmelerinizi ne zaman denetletmelisiniz?

İdeal olarak, sözleşmeleriniz dağıtılmadan önce bir güvenlik denetimi yaptırmalısınız. İlgili denetim, maliyetli hataları ve itibar riskini azaltmanıza yardımcı olacaktır.

Ancak daha önce de belirttiğim gibi güvenlik tek seferlik bir eylem değil, devam eden bir süreçtir. Kod mimarinizin düzenli denetimlerini gerçekleştirecek kaynaklara sahipseniz, bir istismarın kurbanı olma olasılığını önemli ölçüde azaltırsınız.

Peki denetime nasıl hazırlanılır?

Ağır yük, denetçinin omuzlarına düşerken, müşteri olarak sizlerin de önceden bazı hazırlık çalışmaları yapmanız gerekir. Oldukça kapsamlı deneyimime dayanarak aşağıda yer alan başlıkları denetime hazırlanmak için gerekli olduğunu belirtmek isterim:

• Testlerin kod kapsamanın hesaplanması: yüksek kod kapsamı + denetim, bu yaklaşımlardan herhangi birinin kendi başına olduğundan daha düşük riske yol açar.
  
  
• Kodun "badway" ini denemek için ek testler yazılması: Çoğu test, işler yolunda gittiğinde "mutlu yolu" kullanır. Ancak güvenlik açısından protokolün kötü eylemlerin gerçekleşmesini önlediğinden emin olmanız gerekiyor. Örneğin, sahip olmayan bir varlığın yalnızca string değerde sahip olunan bir işlevi çağırmasını sağlayarak erişim kontrollerinizin çalışıp çalışmadığını test etmelisiniz. Diğer bir örnek ise bazı temel değişmezlerin (Örneğin, değiştirme ve daha sonra değiştirmenin kullanıcıya fayda sağlamaması) test edilmesi gereken AMM'lerdir.
  
  
• Koda ait mimari ve ağ segmentasyonuna ilişkin ilgili tüm tasarım dokümanlarını toplamalısınız.
  
  
• Denetim kapsamına hangi protokollerin ve katmanların dahil edileceğine karar vermelisiniz.
  
  

SSS: Blok zinciri güvenliğinin karmaşık ağını çözme

S: Akıllı sözleşme denetimleri neden önemlidir?

C: Güvenlik açıklarını belirleyip gidererek DeFi platformlarının güvenliğini ve güvenilirliğini artırırlar.

S: Denetimler ne sıklıkta yapılmalıdır?

C: Düzenli olarak, özellikle büyük güncellemelerden ve sürekli güvenliği sağlamak için yeni özelliklerin sunulmasından sonra.

S: Blok zinciri güvenlik denetiminin yatırım getirisi nedir?

C: Parasal tasarrufların ötesinde, itibarın, güvenin ve paha biçilemez müşteri güveni varlığının korunmasıyla ilgilidir.

Blok zinciri yolculuğundaki bir sonraki adımınız

Her akıllı sözleşmenin denetlendiği, her güvenlik açığının ele alındığı ve her protokolün güvenlik ve güven kalesi olduğu bir dünya, yalnızca ütopik bir hayal değil, ulaşılabilir bir gerçekliktir. Yapılan her denetim, giderilen her güvenlik açığı bu vizyona bir adım daha yaklaşmaktadır.

Ekosistemin bu yolculuğunda ilerlerken asıl soru, blok zinciri güvenlik denetimine gücünüzün yetip yetmeyeceği değil, asıl soru; güvenlik ve güvenilirlik değerlerini düşünerek, bunlardan birine sahip olmamayı ya da kaybetmeyi göze alabilir misiniz? Bunu sormalısınız. Kodların ve protokollerin karmaşık dansında blok zinciri güvenlik denetimi lüks değildir; bu bir zorunluluktur.