paint-brush
DAG Ağlarını İçeren 5 Güvenlik Olayı ve Kendinizi Nasıl Korursunuzile@obyte
387 okumalar
387 okumalar

DAG Ağlarını İçeren 5 Güvenlik Olayı ve Kendinizi Nasıl Korursunuz

ile Obyte8m2023/10/25
Read on Terminal Reader

Çok uzun; Okumak

DAG platformlarını içeren bazı saldırıları daha ayrıntılı olarak ele alacağız ve ilgili hizmetlerin bilgisayar korsanlığı girişimlerine kurban gittiği beş örneği anlatacağız.
featured image - DAG Ağlarını İçeren 5 Güvenlik Olayı ve Kendinizi Nasıl Korursunuz
Obyte HackerNoon profile picture
0-item

Yönlendirilmiş Döngüsel Grafikler (DAG'ler), blockchain teknolojisine umut verici bir alternatif olarak ortaya çıktı. Blockchain'lerin aksine DAG'ler, işlemlerin fikir birliğine varmanın yeni yolları ile yönlendirilmiş, dairesel olmayan bir şekilde bağlandığı benzersiz bir yapıya sahiptir. Bu yenilik, daha hızlı işlem hızları ve daha yüksek merkeziyetsizlik vaat ederek onları kripto meraklıları için cazip bir seçim haline getiriyor. Ancak, kendi güvenlik sorunlarıyla da gelebilirler.


Sonuçta hata ödül programlarının bir nedeni var. Ancak şu ana kadar hiçbir DAG yapısının hacklenmediğini söyleyebiliriz. Öte yandan, sosyal medya ve hatta akıllı sözleşmeler gibi ilgili hizmetler de başka bir hikaye. Siber suçlular en savunmasız noktaları hedef alır ve bu genellikle DAG'ın dışındadır ancak yine de kullanıcılarını hedef alır.


DAG platformlarını kapsayan bazı saldırılara ileride değineceğiz ve ilgili hizmetlerin bilgisayar korsanlığı girişimlerine kurban gittiği beş örneği anlatacağız. Ayrıca, kendinizi bu tür tehditlerden korumaya yönelik stratejileri ve en iyi uygulamaları araştıracağız. İster deneyimli bir yatırımcı olun, ister yeni başlayan biri olun, anlayışla karşılayın bu zorluklar Giderek karmaşıklaşan bir kripto ekosisteminde dijital varlıklarınızı korumak çok önemlidir.


Nano + BitGrail


2018 yılında, kripto para dünyası, İtalyan kripto para borsası BitGrail ve dijital para birimi Nano'nun (eski adıyla Raiblocks) dahil olduğu büyük bir güvenlik ihlaline tanık oldu. Bu para birimi, DAG (daha doğrusu blok kafes) gibi yapılandırılmış bir defter kullanır ve fikir birliği sistemi, Proof-of-Stake (PoS) blok zincirine oldukça benzer.


Olay BitGrail, platformunda önemli miktarda Nano tokenin eksik olduğunu bildirdiğinde başladı. Borsanın kurucusu Francesco Firano, saldırının o dönemde kabaca 170 milyon dolara denk gelen yaklaşık 17 milyon Nano tokenin çalınmasıyla sonuçlandığını iddia etti.


2017'de BitGrail, RaiBlocks (Nano) ticareti yaptı. İnternet Arşivinden resim

BitGrail saldırısının ardından borsa yönetimi ile Nano geliştirme ekibi arasında çekişmeli bir anlaşmazlık yaşandı. Firano başlangıçta güvenlik açığından Nano'nun kodunun sorumlu olduğunu öne sürerek geliştiricileri hırsızlıktan sorumlu tuttu. Nano ekibi tarafından (hackin silinmesi için) tartışmalı bir çatal (güncelleme) talep edildi, ancak ekip bunu reddetti.


Daha sonra yapılan daha fazla araştırma, BitGrail'in güvenlik önlemlerinin ve iç kontrollerinin yetersiz olduğunu ve bunun da kullanıcı fonlarının tehlikeye atılmasına yol açtığını ortaya çıkardı. Gerçekten de hack, Nano'da fiyat artışı görüldüğü sırada gerçekleşti ve Firano, ihlallerin 2017'den beri gerçekleştiğini gizledi. BitGrail ve Firano en azından iki toplu dava ve sonuçta Firano'nun saldırıdan doğrudan sorumlu olduğu ortaya çıktı.


Bu durumda DAG saldırıya uğramadı ancak kullanıcılar yanlış şirkete güvendi. Merkezi borsalarda fonlarınızın özel anahtarları yoktur. Bunun yerine yalnızca şifreli bir hesap sağlanır ve fonlar bu şirketin tam gözetimindedir (kontrolündedir). Kaybederlerse (hackler, iflas vb.), o zaman siz de kaybedersiniz. Bu nedenle borsaları kalıcı cüzdan olarak kullanmamak önemlidir.


IOTA + Moonpay


IOTA, daha hızlı işlemlere olanak sağlamak için Yönlendirilmiş Asiklik Grafik (DAG) teknolojisini kullanan bir kripto para birimi platformudur ve Nesnelerin İnterneti (IoT) sektörüne odaklanmıştır. Blok zincirlerden farklı olarak IOTA'nın Tangle DAG'ı, kullanıcıların diğerlerini onaylayarak işlemleri doğrulamasına olanak tanır, ancak fikir birliğine varmak için nihai bir koordinatör düğümü vardır. (2016'dan beri) bundan kurtulmayı planlıyorlar, ancak bu arada koordinatör IOTA Vakfı tarafından kontrol ediliyor ve ağ merkezileştirilmiş durumda.


IOTA web sitesi

Bu, büyük bir ihlalin ardından tüm ağın koordinatör tarafından dondurulduğu Şubat 2020'de büyük ölçüde kanıtlandı. O zamanlar bilgisayar korsanları, IOTA'nın yerel tokeni MIOTA'da doğrudan kullanıcılardan 8,5 milyon dolar çaldı; bu o zamanlar yaklaşık 2 milyon dolardı. IOTA Trinity cüzdanı Moonpay'in sunucularından Moonpay SDK'sının yasa dışı sürümlerini yükleyerek kullanıcıların cüzdan tohumlarını tehlikeye atan Moonpay'e (kripto ödeme hizmeti) üçüncü taraf bağımlılığı nedeniyle bir güvenlik ihlali yaşadı.


Siber suçlu, önbelleğe alınmış dosyaların üzerine yazacak ve izleri ortadan kaldıracak yeni bir Trinity sürümü bekliyordu. IOTA Vakfı tarafından koordinatörün durdurulması ve kamu durum güncellemelerini içeren bir olay yönetim planının oluşturulması da dahil olmak üzere acil önlemler alındı. Saldırı, DNS müdahalesini, kod değişikliğini ve API anahtarının kötüye kullanımını içeriyordu.


IOTA, etkilenen kullanıcılar için geçiş araçları geliştirerek, analitik araçları geliştirerek ve güvenlik uzmanları ve kolluk kuvvetleriyle işbirliği yaparak yanıt verdi. Trinity artık kullanılmıyor ve MoonPay işbirliği yaptı sorunu çözmek için onlarla birlikte. Yani yine, bu ihlal edilmiş bir DAG değil, onunla ilgili harici bir hizmetti.


Hedera Hashgraph


Hedera Hashgraph, fikir birliği için Yönlendirilmiş Asiklik Grafikleri (DAG'ler) kullanan dağıtılmış bir defter sistemidir. Hedera'nın evinde dedikodu protokolü Düğümler yeni bilgileri birbirleriyle paylaşır ve birden fazla paylaşım turu yoluyla yavaş yavaş fikir birliğine varılır. Bilgi paylaşımı olaylarının bu geçmişi, bir tür DAG olan hash grafiğiyle temsil edilir. Bu sistem patentlidir ancak hatasız değildir.


Blockchain ve Hashgraph. Resim: Hedera

9 Mart 2023'te Hedera Hashgraph ağı kurban düştü Pangolin, SaucerSwap ve HeliSwap gibi merkezi olmayan borsalardan (DEX'ler) çeşitli tokenlerin çalınmasına yol açan akıllı sözleşme istismarına yol açtı. Perakende kullanıcı hesapları ve Hedera cüzdanları etkilenmedi ancak saldırgan, yaklaşık 600.000 dolar değerindeki tokenleri çalmayı başardı. Bunlar arasında DAI Stablecoin, Tether USD, USD Coin ve Wrapped HBAR yer alıyor.


Saldırıyı azaltmak için hızlı önlem alındı. DEX'ler ve köprüler, ihlal konusunda uyarıldıktan sonraki bir saat içinde köprü üzerinden token akışını durdurmak için işbirliği yaptı. Hedera ekibi, Hedera ana ağına proxy erişimini devre dışı bırakarak (ağın IOTA gibi merkezileştirilmesi sayesinde) kullanıcıların ve saldırganın daha fazla erişimini engelledi. Güvenlik açığının keşfedilmesinden sonraki 41 saat içinde hızla bir düzeltme geliştirildi, test edildi ve uygulandı.


Diğer DAG'lerdeki önceki saldırılardan farklı olarak, bu sefer aslında yerel sistem, özellikle de akıllı sözleşme katmanı tehlikeye giren taraftı. Ekip bunu azaltmak için hızlı bir şekilde harekete geçti.


Sui Ağı + Discord


Sui Network, Mayıs 2023'te piyasaya sürülen dağıtılmış bir defterdir. İşlemleri basit işlemlere (para gönderme gibi) ve karmaşık işlemlere (çevrimiçi açık artırmalar gibi) ayırır. Basit işlemler fikir birliği gerektirmez, ancak karmaşık işlemler Proof-of-Stake (PoS) doğrulayıcılarını ve Bullshark adı verilen yüksek verimli DAG tabanlı konsensüs protokolünü kullanın.


Sui Network Twitter (X) hesabı

Bu ağ, özellikle yeni teknolojiler söz konusu olduğunda önlemenin önemli olduğunu kanıtladı. Güvenlik firması CertiK, ana ağ yayınlanmadan hemen önce sistemde kritik bir hata buldu. Kusur, Sui'nin kodundaki kötü niyetli bir akıllı sözleşme tarafından tetiklenebilecek sonsuz bir döngü hatasıydı. "HamsterWheel saldırısı" olarak bilinen bu tür saldırı, düğümleri çökertmez, bunun yerine onları yeni işlemleri işlemeden sürekli olarak çalışır halde tutarak ağı çalışmaz hale getirir.


Bir kez hata tanımlandı Sui geliştiricileri, etkisini azaltmak için hızlı bir şekilde düzeltmeler uyguladı ve CertiK bu düzeltmelerin zaten uygulandığını doğruladı. Sui Vakfı, hata ödülü olarak CertiK'e 500.000 dolar ödül verdi. Ancak bu platformun karşılaştığı tek tehdit bu değildi.


Potansiyel hatadan önce bile Ağustos 2022'de Mysten Labs'ın (Sui yaratıcıları) Discord sunucusu saldırıya uğradı. Duyuru paylaşıldı Twitter'dan , birçok kullanıcının etkinlik nedeniyle para kaybından şikayetçi olduğu yer. Olay, bilgisayar korsanlarının sunucunun duyuru kanalında iddia edilen bir airdrop'un bağlantısını paylaşmasını içeriyordu. O tarihten bu yana sohbetteki güvenlik ve doğrulama süreçlerini güçlendirdiler.

Çığ + DeFi


Avalanche, blok zincirler yerine DAG yapılarını kullanan başka bir kripto protokolüdür. Şunlardan oluşur: farklı zincirler : Akıllı sözleşmeler için Sözleşme Zinciri (C-Chain), düşük ücretlerle hızlı fon transferleri için Borsa Zinciri (X-Chain) ve staking ve ödüller için Platform Zinciri (P-Chain). Özellikle X-Chain, yüksek verim ve hızlı işlem kesinliği elde etmek için DAG teknolojisinden yararlanıyor.


Çığ web sitesi


Avalanche'ı temel alan birçok DeFi protokolü yıllar içinde önemli saldırılarla karşı karşıya kaldı. İlk yüksek profilli saldırı kredi platformuna yönelikti Vee Finans Eylül 2021'de. Saldırı, fiyat bilgileri için tek bir kaynağa (oracle) güvendikleri ve bu kaynağın ondalık sayıları düzgün şekilde işleyemediği için gerçekleşti. Bu, saldırganın fiyatları manipüle etmesine ve işlem yapılmaması gereken çiftler üzerinde işlem yapmasına olanak sağladı.


Bu, 8804,7 ETH ve 213,93 BTC'nin (o sırada yaklaşık 36 milyon dolar) izinsiz olarak çekilmesiyle sonuçlandı. Tokenlar daha sonra Ethereum'a bağlandı ve saldırganın elinde kaldı. Vee Finance, varlık kurtarma çabalarını aktif olarak sürdürerek platform sözleşmelerini ve ilgili işlevleri askıya aldı (bu da platformun DeFi teriminin ima ettiği kadar merkezi olmadığını gösterdi). Ancak bunların hepsi Avalanche için değildi. Zamanla daha fazla saldırı gelecektir.


Geçtiğimiz Şubat 2023'te iki DeFi protokolü daha saldırıya uğradı: çok zincirli toplayıcı Dexible ve DEX Platypus. İlk durumda Saldırgan, uygulamaya tokenlarına erişme yetkisi veren kullanıcılardan 2 milyon dolar değerindeki kriptoyu taşımak için uygulamanın selfSwap işlevinden yararlandı. Dexible sözleşmelerini duraklattı ve kullanıcılara token yetkilerini iptal etmelerini tavsiye etti.


İkinci durumda, Platypus kayıp Hızlı kredi saldırısında 8,5 milyon dolar. Bilgisayar korsanı, doğrulanmamış kaynak koduyla kötü amaçlı bir akıllı sözleşme kullanarak protokolün varlık sözleşmelerinden yararlandı. Şimdi üç vakaya gelince, başından beri bazı hataların DeFi geliştiricilerinden kaçtığını ve bunun fon kaybına yol açtığını söyleyebiliriz.


Kendinizi DAG risklerinden koruyun


Yönlendirilmiş Döngüsel Grafik (DAG) platformlarının ortalama kullanıcıları için, riskleri azaltmak amacıyla çeşitli temel güvenlik önlemleri ve korumalar uygulanabilir:


  • Saygın Hizmetleri Kullanın: Cüzdanlar veya borsalar gibi herhangi bir üçüncü taraf hizmetini kullanmadan önce, güvenlik açısından iyi bir üne sahip olduklarından emin olmak için araştırmanızı yapın. Ayrıca, borsalarda uzun süre boyunca büyük miktarda kripto para bırakmaktan kaçının.
  • Özel Anahtarlarınızı Güvenceye Alın: Özel anahtarlarınız üzerinde kontrol sahibi olmanızı sağlayan cüzdanlarınız varsa bunları kullanın. Bu, fonlarınız üzerinde doğrudan kontrole sahip olduğunuz anlamına gelir. Soğuk cüzdanlar ekstra bir güvenlik katmanı sunar.


  • Güçlü Şifreler kullanın ve 2FA'yı etkinleştirin: Kripto para birimiyle ilgili hesaplarla uğraşırken güçlü, benzersiz şifreler kullanın. Onları güvende tutmak için saygın bir şifre yöneticisi kullanmayı düşünün. Mümkün olduğunda hesaplarınızda İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirin.


Obyte'de çoklu cihaz hesabını 2FA olarak oluşturabilir ve yönetebilirsiniz.


  • Haberdar Olun: Kullandığınız DAG platformuyla ilgili en son haberler ve gelişmelerden haberdar olun. Potansiyel güvenlik açıklarını anlamak, önleyici tedbirler almanıza yardımcı olabilir.
  • Kimlik Avı Dolandırıcılıklarına Dikkat Edin: Oturum açma bilgilerinizi veya özel anahtarlarınızı çalmayı amaçlayan kimlik avı e-postalarına, mesajlarına veya web sitelerine karşı dikkatli olun. URL'leri ve kaynakları her zaman iki kez kontrol edin.


  • İzinleri Düzenli Olarak İnceleyin: Cüzdanınıza veya tokenlarınıza erişim izni isteyen uygulamalar veya hizmetler için, bu izinleri gözden geçirin ve artık ihtiyaç duyulmadığında iptal edin.

  • Yatırımlarınızı Çeşitlendirin: Tüm varlıklarınızı tek bir kripto para birimine veya platforma koymaktan kaçının. Çeşitlendirme riskin yayılmasına yardımcı olabilir.


Şu ana kadar Obyte (aynı zamanda bir kripto-DAG platformu) sisteminde veya ilgili hizmetlerinde yüksek profilli bir saldırıya uğramadı. Ancak bu, saldırılara karşı bağışık oldukları anlamına gelmez. Bir hata ödül programı Yetenekli geliştiricilere yüksek ödüller sunan Immunefi'de aktiftir. Ancak bu kuralların uygulanması her zaman önemlidir. en iyi güvenlik önlemleri kendi cüzdanınızda ve her platform için kendi araştırmanızı yapın!



Öne Çıkan Vektör Resmi Ücretsizpik