Merkezi olmayan finans sektörü baş döndürücü bir hızla büyüyor. Üç yıl önce DeFi'de kilitlenen toplam değer yalnızca 800 milyon dolardı. Şubat 2021 itibarıyla bu rakam 40 milyar dolara çıktı; Nisan 2021'de 80 milyar dolarlık bir dönüm noktasına ulaştı; ve şimdi o standları 140 milyar doların üzerinde. Yeni bir pazardaki bu kadar hızlı büyüme, her türden bilgisayar korsanının ve dolandırıcının dikkatini çekmeden edemezdi.
Kripto araştırma şirketi tarafından hazırlanan bir rapora göre, 2019'dan bu yana, DeFi sektörü yaklaşık 284.9 milyon dolar kaybetti hack'lere ve diğer istismar saldırılarına karşı. Blockchain ekosistemlerinin hacklenmesi, hackerların bakış açısından ideal bir zenginleştirme aracıdır. Bu tür sistemler anonim olduğundan kaybedecek paraları vardır ve herhangi bir hack, kurbanın bilgisi olmadan test edilebilir ve ayarlanabilir. 2021 yılının ilk dört ayında zarar 240 milyon doları buldu. Ve bunlar sadece kamuoyunca bilinen vakalar. Gerçek kayıpların milyarlarca dolar olduğunu tahmin ediyoruz.
İlgili: 2020'de kripto saldırıları, istismarları ve soygunları
DeFi protokollerinden para nasıl çalınır? Birkaç düzine hacker saldırısını analiz ettik ve hackerların saldırılarına yol açan en yaygın sorunları belirledik.
Üçüncü taraf protokollerinin yanlış kullanımı ve iş mantığı hataları
Herhangi bir saldırı öncelikle kurbanın analiziyle başlar. Blockchain teknolojisi, otomatik ayarlama ve bilgisayar korsanlığı senaryolarının simülasyonu için birçok fırsat sağlar. Bir saldırının hızlı ve görünmez olabilmesi için saldırganın gerekli programlama becerilerine ve akıllı sözleşmelerin nasıl çalıştığına dair bilgiye sahip olması gerekir. Bir bilgisayar korsanının tipik araç seti, ağın ana sürümünden bir blok zincirinin kendi tam kopyasını indirmesine ve ardından sanki işlem gerçek bir ağda gerçekleşiyormuş gibi saldırı sürecini tamamen ayarlamasına olanak tanır.
Daha sonra saldırganın projenin iş modelini ve kullanılan harici hizmetleri incelemesi gerekiyor. İş mantığının matematiksel modellerindeki ve üçüncü taraf hizmetlerindeki hatalar, bilgisayar korsanlarının en sık istismar ettiği sorunlardan ikisidir.
Akıllı sözleşmelerin geliştiricileri genellikle bir işlem sırasında herhangi bir anda sahip olabileceklerinden daha fazla veriye ihtiyaç duyar. Bu nedenle, kehanetler gibi harici hizmetleri kullanmak zorunda kalıyorlar. Bu hizmetler güvene dayalı olmayan bir ortamda çalışacak şekilde tasarlanmamıştır; dolayısıyla bunların kullanımı ek riskler doğurur. Bir takvim yılı istatistiklerine göre (2020 yazından bu yana), söz konusu risk türü en küçük kayıp yüzdesini oluşturuyordu; yalnızca 10 hack, toplamda yaklaşık 50 milyon dolarlık kayıpla sonuçlandı.
İlgili: Blockchain güvenlik protokollerini güncellemek için radikal ihtiyaç
Kodlama hataları
Akıllı sözleşmeler BT dünyasında nispeten yeni bir kavramdır. Basitliklerine rağmen akıllı sözleşmelere yönelik programlama dilleri tamamen farklı bir geliştirme paradigması gerektirir. Geliştiriciler çoğu zaman gerekli kodlama becerilerine sahip değildir ve kullanıcılar için büyük kayıplara yol açan büyük hatalar yaparlar.
Piyasadaki çoğu denetim firması yaptıkları işin kalitesi konusunda herhangi bir sorumluluk taşımadığından ve sadece mali yönüyle ilgilendiğinden güvenlik denetimleri bu tür risklerin yalnızca bir kısmını ortadan kaldırır. Kodlama hataları nedeniyle 100'den fazla proje hacklendi ve toplam kayıp hacmi 500 milyon dolar civarında oldu. Bunun çarpıcı bir örneği dForce'tur gerçekleşen hack Bilgisayar korsanları, ERC-19 token standardındaki bir güvenlik açığını yeniden giriş saldırısıyla birlikte kullanarak 2020 milyon doları kaçırdılar.
İlgili: DeFi projeleri için varsayılan denetim, sektörü büyütmek için bir zorunluluktur
Flaş krediler, fiyat manipülasyonu ve madenci saldırıları
Akıllı sözleşmeye sağlanan bilgiler yalnızca bir işlemin yürütülmesi sırasında geçerlidir. Varsayılan olarak sözleşme, içerdiği bilgilerin dışarıdan olası manipülasyonlarına karşı bağışık değildir. Bu, çok çeşitli saldırıları mümkün kılar.
Flaş krediler teminatsız kredilerdir ancak ödünç alınan kripto paranın aynı işlem içerisinde iade edilmesi zorunluluğunu gerektirir. Borçlu parayı iade etmezse işlem iptal edilir (geri alınır). Bu tür krediler, borçlunun büyük miktarlarda kripto para almasına ve bunları kendi amaçları için kullanmasına olanak tanır. Tipik olarak flaş kredi saldırıları fiyat manipülasyonunu içerir. Saldırgan, önce çok sayıda ödünç alınan token'ı bir işlem içerisinde satabilir, böylece fiyatlarını düşürebilir ve daha sonra bunları geri satın almadan önce çok düşük bir token değerinde bir dizi eylem gerçekleştirebilir.
Madenci saldırısı, iş kanıtı konsensüs algoritması temelinde çalışan blok zincirlere yapılan flaş kredi saldırısının bir benzeridir. Bu tür saldırılar daha karmaşık ve pahalıdır ancak flaş kredilerin bazı koruma katmanlarını atlayabilir. İşleyiş şekli şu: Saldırgan madencilik kapasitelerini kiralıyor ve yalnızca ihtiyaç duyduğu işlemleri içeren bir blok oluşturuyor. Verilen blok içerisinde önce tokenleri ödünç alabilir, fiyatları değiştirebilir ve ardından ödünç alınan tokenları iade edebilirler. Saldırgan, bloğa girilen işlemleri ve bunların sırasını bağımsız olarak oluşturduğundan, flaş kredilerde olduğu gibi, saldırı aslında atomiktir (başka hiçbir işlem saldırıya "bağlanamaz"). Bu tür saldırılar 100'den fazla projeyi hacklemek için kullanıldı ve toplam kayıp yaklaşık 1 milyar doları buldu.
Ortalama hack sayısı zamanla artmaktadır. 2020'nin başında bir hırsızlık yüzbinlerce dolara mal oldu. Yıl sonuna gelindiğinde miktarlar on milyonlarca dolara yükseldi.
İlgili: Akıllı sözleşme suistimalleri bilgisayar korsanlığından daha etik mi… yoksa değil mi?
Geliştirici beceriksizliği
En tehlikeli risk türü insan hatası faktörünü içerir. İnsanlar hızlı para arayışı içinde DeFi'ye başvuruyor. Pek çok geliştirici yeterli vasıflara sahip değildir ancak yine de projeleri aceleyle başlatmaya çalışmaktadır. Akıllı sözleşmeler açık kaynaktır ve bu nedenle bilgisayar korsanları tarafından kolayca kopyalanabilir ve küçük şekillerde değiştirilebilir. Orijinal proje ilk üç tür güvenlik açığını içeriyorsa, bunlar yüzlerce klonlanmış projeye yayılır. RFI SafeMoon buna iyi bir örnektir. kritik bir güvenlik açığı içeriyor yüzden fazla proje üst üste bindirildi ve bu da 2 milyar doları aşan potansiyel kayıplara yol açtı.
Bu makale birlikte yazılmıştır. Vladislav Komissarov ve Dmitry Mişunin.
Burada ifade edilen görüşler, düşünceler ve görüşler yalnızca yazarlara aittir ve Cointelegraph'ın görüş ve düşüncelerini yansıtmaz veya temsil etmez.
Vladislav Komissarov sabit periyodik gelire sahip gerçek dünya varlıkları tarafından desteklenen bir stablecoin ile borç verme DeFi protokolü olan BondAppetit'in baş teknoloji sorumlusudur. Web geliştirmede 17 yıldan fazla deneyime sahiptir.
Dmitry Mişunin HashEx'in kurucusu ve baş teknoloji sorumlusudur. HashEx tarafından tasarlanan blockchain entegrasyonları üzerinde 30'dan fazla küresel proje yürütülüyor. 200-2017'de 2021'den fazla akıllı sözleşme denetlendi.
Kaynak: https://cointelegraph.com/news/how-do-defi-protocols-get-hacked
- 100
- 2019
- 2020
- 2021
- 9
- Ek
- algoritma
- Türkiye
- analiz
- Nisan
- etrafında
- göre
- Varlıklar
- saldırılar
- denetim
- Milyar
- blockchain
- blockchain teknoloji
- iş
- iş modeli
- Satın alma
- Takvim
- iptal edildi
- durumlarda
- baş
- Baş Teknoloji Sorumlusu
- kodlama
- Cointelegraph
- ortak
- Şirketler
- şirket
- Fikir birliği
- sözleşme
- sözleşmeleri
- kripto
- cryptocurrencies
- veri
- Merkezi olmayan
- Merkezi Olmayan Finans
- Defi
- geliştiriciler
- gelişme
- dolar
- düzine
- ekosistemler
- çevre
- infaz
- deneyim
- sömürmek
- HIZLI
- şekil
- maliye
- mali
- Ad
- flaş
- flaş kredi
- flaş krediler
- kurucu
- tam
- para
- Küresel
- Tercih Etmenizin
- Büyüyen
- Büyüme
- kesmek
- Hacker
- hackerlar
- hack
- kesmek
- okuyun
- Ne kadar
- HTTPS
- Yüzlerce
- Gelir
- bilgi
- entegrasyonlar
- sorunlar
- IT
- bilgi
- Diller
- büyük
- başlatmak
- öncülük etmek
- önemli
- borç verme
- borç
- Krediler
- hile
- pazar
- milyon
- Madencilik
- model
- para
- ay
- ağ
- Yeni Pazar
- Subay
- açık
- açık kaynak
- Görüşler
- Fırsatlar
- Diğer
- paradigma
- İnsanlar
- Bakış açısı
- fiyat
- Programlama
- Programlama dilleri
- proje
- Projeler
- İşin kanıtı
- koruma
- kalite
- rapor
- araştırma
- Risk
- koşu
- acele
- Ara
- güvenlik
- satmak
- Hizmetler
- simülasyon
- becerileri
- küçük
- akıllı
- akıllı sözleşme
- Akıllı Sözleşmeler
- So
- stablecoin
- istatistik
- çalıntı
- Ders çalışma
- yaz
- Sistemler
- Teknoloji
- Blok
- hırsızlık
- zaman
- simge
- Jeton
- işlem
- işlemler
- kullanıcılar
- değer
- Görüntüle
- hacim
- güvenlik açıkları
- güvenlik açığı
- ağ
- içinde
- İş
- çalışır
- Dünya
- yıl
- yıl
