paint-brush
Tüm Zamanların En İyi 5 Kripto Para ve DeFi Hack'iile@obyte
186 okumalar

Tüm Zamanların En İyi 5 Kripto Para ve DeFi Hack'i

ile Obyte8m2023/10/09
Read on Terminal Reader

Çok uzun; Okumak

Bu araştırmada Mt. Gox'tan daha yakın yıllara (2023'e kadar) kadar tüm zamanların en kötü kripto ve DeFi saldırılarını inceleyeceğiz.
featured image - Tüm Zamanların En İyi 5 Kripto Para ve DeFi Hack'i
Obyte HackerNoon profile picture
0-item


Kripto para birimlerinin heyecan verici ama riskli dünyasında, finansal özgürlük arayışının da bazı zorlukları var. Dijital para birimleri önem kazanmaya (ve daha yüksek fiyatlara) devam ettikçe, finansal kazanç elde etmek için güvenlik açıklarından yararlanmaya çalışan kötü niyetli aktörlerin de ana hedefi haline geldiler. Bu araştırmada Mt. Gox'tan daha yakın yıllara (2023'e kadar) kadar tüm zamanların en kötü kripto hacklerini inceleyeceğiz.


Ayrıca, DAG tabanlı kripto para birimleri alanına da gireceğiz ve bu yenilikçi, Yönlendirilmiş Döngüsel Grafik tabanlı ağların kendilerine özgü güvenlik sorunlarıyla karşı karşıya kaldığı örnekleri inceleyeceğiz. Yeniliğin kırılganlıkla buluştuğu ve risklerin her zamankinden daha yüksek olduğu kripto dünyasının inişli çıkışlı anlarında bir yolculuğa kendinizi hazırlayın.

Gox Dağı Gox Dağı Logosu

Kesin olarak konuşursak, teoride, 2014'teki bundan bu yana daha yüksek ödül alan saldırılar oldu. Ancak o yıl tüm kripto dünyası temelde sadece Bitcoin'den (BTC) oluşuyordu; ve Mt. Gox dünyanın önde gelen Bitcoin borsasıydı. Platform, çok değişken fiyatlar nedeniyle dünya çapındaki toplam işlemlerin %70'inden fazlasını gerçekleştiriyordu. Daha sonra, çok sayıda sorun ve gizli saldırıların ardından Şubat 2014'te ciddi ödeme gücü sorunları ortaya çıktı.


7 Şubat'ta tüm para çekme işlemleri zayıf bahanelerle durduruldu. 23 Şubat'ta CEO Mark Karpelès, Bitcoin Vakfı yönetim kurulundan istifa etti ve Mt. Gox'un tüm tweet'lerini sildi. Ertesi gün web sitesi çevrimdışı oldu ve sızdırılan belgeler 744.408 BTC (o sırada yaklaşık 473 milyon dolar) kaybını gösterdi. Bu, bugünkü fiyatlarla 19,1 milyar doların üzerinde olurdu [CMC].


Sızan belgelerde okunduğu üzere, bilgisayar korsanları şirketin haberi olmadan birkaç yıldır Mt. Gox'tan Bitcoin çekiyorlardı. Buna göre WizSec'in araştırması Her nasılsa, bilgisayar korsanları Mt. Gox'un Bitcoin sıcak (çevrimiçi) cüzdanından özel anahtarı çalmayı başardılar ve bu da onların döviz fonlarını kendi istekleri doğrultusunda kullanmalarına olanak tanıdı. Bitcoin'in bir defter olarak saldırıya uğramaması, yalnızca borsa olması nedeniyle güvenliklerinin en iyi olmadığını söylemeliyiz.


O yıllarda kripto topluluğunun hâlâ küçük olması nedeniyle darbe yıkıcıydı. Bitcoin Şubat ayından Aralık ayına kadar %43'ün üzerinde kayıp yaşadı. 2015'in sonlarına kadar herhangi bir iyileşme işareti gösterilmeyecekti. Mt. Gox saldırısının kurbanları ise, geri ödeme umudu alabilmek için yıllarca beklemek zorunda kaldı. Büyük bir hukuki mücadelenin ardından Mt. Gox'un mütevelli heyeti, sonunda borcunu öde Ekim 2023 sonuna kadar borsanın alacaklıları.

Coincheck

Ocak 2018'de, önde gelen bir Japon kripto para borsası olan Coincheck, tarihteki en büyük kripto para birimi saldırılarından birinin kurbanı oldu. Bilgisayar korsanları borsanın güvenlik sistemlerindeki güvenlik açıklarından yararlanarak Coincheck'in sıcak cüzdanına (çevrimiçi) erişim sağladı. O zamanlar değeri yaklaşık 530 milyon dolar olan yaklaşık 523 milyon NEM (XEM) tokeni çaldılar.

Coincheck logosu


Tarafından bildirildiği üzere bazı kaynaklar İhlal, Coincheck çalışanlarına kötü amaçlı yazılım bulaşmış e-postalar gönderilerek saldırganların dahili sistemlerin kontrolünü ele geçirmesine olanak tanıyarak gerçekleştirildi. İçeri girdikten sonra çalınan XEM tokenlarını hızla çeşitli adreslere aktardılar ve bu da fonların izini sürmeyi zorlaştırdı.


Sonrasında Coincheck, düzenleyicilerin yoğun incelemesiyle karşı karşıya kaldı ve bu da güvenlik önlemlerinin iyileştirilmesine ve büyük bir geri ödeme çabasına yol açtı . Değişim yemin etti Etkilenen kullanıcılara, çalınan XEM tokenlerini, o zamanki piyasa değerinin önemli ölçüde altında olan, madeni para başına 88.549 JPY oranında iade ederek tazminat ödemek. Bunu kendi öz kaynaklarıyla yaptılar.


Rağmen geri ödeme çabaları Bu hack hem Coincheck hem de daha geniş kripto para topluluğu üzerinde önemli bir etki bıraktı. Merkezi kripto para birimi borsalarıyla ilişkili güvenlik risklerinin ve sağlam güvenlik protokollerinin öneminin açık bir hatırlatıcısı oldu. Coincheck'in olayı ele alması, borsalara emanet edilen fonların güvenliğiyle ilgili soruları gündeme getirdi ve dünya çapındaki düzenleyici otoriteleri, yatırımcıları korumak ve gelecekteki ihlalleri önlemek için kripto para platformları üzerindeki denetimlerini sıkılaştırmaya yöneltti.

BSC Token Merkezi

Binance markası da sorunlardan muaf değil. 7 Ekim 2022'de, BNB Smart Chain'in BNB Beacon Chain ile BNB Smart Chain arasındaki yerel çapraz zincir köprüsü bir hack saldırısının kurbanı oldu. Bu istismar, hasarı kontrol altına almak için Binance Smart Chain'in geçici olarak askıya alınmasıyla sonuçlandı. Saldırgan, o dönemde yaklaşık 566 milyon dolar değerinde olan 2 milyon BNB tokenını yasadışı bir şekilde bastı. Çoğu ekip tarafından hızla donduruldu, ancak bilgisayar korsanı yaklaşık 137 milyon doları diğer zincirlere aktarmayı başardı.

Binance Akıllı Zincir Logosu


İhlal Saldırganın 5 Ekim 2022'de ChangeNOW cüzdanından 100 BNB almasıyla başladı. Bu, BNB Beacon Chain (BEP2) ve Binance Smart Chain (BEP20) arasındaki zincirler arası işlemleri kolaylaştıran BSC Token Merkezi için Aktarıcı olarak kaydolmalarına olanak tanıdı. . Saldırgan, BSC Token Hub'ın kanıtları doğrulama yöntemindeki bir güvenlik açığından yararlandı, keyfi mesajlar oluşturdu ve iki işlemde 2 milyon BNB'nin oluşturulup çekilmesini başlattı.


Saldırgan, çalınan fonları hemen borsalara yönlendirmek yerine, BNB Chain'in popüler bir borç verme protokolü olan Venus'u kullandı. Değeri 250 milyon doların üzerinde olan beş işlemde USDT, USDC ve BUSD gibi stabilcoinleri ödünç almak için 900 bin BNB'yi teminat altına aldılar . Bu stabilcoinler daha sonra köprüler kullanılarak birden fazla zincire yönlendirildi ve tespit edilmekten kaçınmak için çeşitli DeFi ürünleri kullanıldı.


Saldırının ardından BSC, düzensiz faaliyet nedeniyle zinciri durdurarak daha fazla fon hareketini önledi. Saldırganın zincirler arasındaki dengeleri yakından takip edildi. BNB Chain, güvenlik açıklarını gidermek için bir hardfork (güncelleme) uyguladı ve gelecekteki saldırılara karşı savaşmak için yeni bir zincir içi yönetişim mekanizması başlattı.

Poli Ağ

Farklı zincirler arasında ticareti kolaylaştıran bir birlikte çalışabilirlik protokolü olan Poly Network, 10 Ağustos 2021'de bir istismarın kurbanı oldu . Anonim bilgisayar korsanları tarafından düzenlendi ve 610 milyon dolardan fazla kripto paranın onların kontrolüne aktarılmasıyla sonuçlandı. ETH, USDC, DAI, UNI, SHIB, FEI, MATIC ve birkaç BSC tokenini çaldılar; hepsi genel topluluk üyelerinden. Özellikle bu, merkezi olmayan finans (DeFi) tarihindeki en büyük güvenlik olaylarından biriydi. PolyNetwork Logosu

Bilgisayar korsanları çalınan fonları Ethereum, Binance Smart Chain ve Polygon'da kontrol ettikleri adreslere taşıdı. Saldırının ardından Poly ekibi, borsalara ve madencilere çalınan token akışını izleme çağrısında bulundu ve hacker'ın işlemlerinin durdurulması yönünde çağrıda bulundu. Tether 33 milyon dolar değerindeki USDT'yi dondurdu.


Şaşırtıcı bir şekilde, bilgisayar korsanları 11 Ağustos 2021'de tokenları iade etme niyetlerini açıkladılar ve hırsızlığın güvenlik açıklarını ortaya çıkarmayı ve Poly Network'ün güvenliğini artırmayı amaçladığını iddia ettiler. Halka açık iletişim kurmak için işlemlerde gömülü mesajları kullandılar.


Protokol ekibi buna yanıt olarak kurtarma sürecini başlattı ve bilgisayar korsanlarından "Bay Beyaz Şapka" olarak bahsetti. Geri kalan varlıkların güvenli bir şekilde iadesini sağlamak için 500.000 dolarlık bir hata ödülü ve "güvenlik baş danışmanı" rolünü teklif ettiler. Çalınan paranın son kısmı da iade edildi23 Ağustos .


Olay, bilgisayar korsanları için "beyaz şapka" teriminin kullanılması konusunda bazı tartışmalara yol açtı ve bunun, suçlu bilgisayar korsanlarının eylemlerini sterilize etme konusunda bir emsal oluşturabileceği endişesi oluştu. Ancak Poly Network, güvenliği artırmak için bir hata ödül programı başlattı ve güvenlik kurumlarını ve beyaz şapkalı kuruluşları temel işlevlerini denetlemeye davet etti. Kritik güvenlik açıkları için 100.000 dolara kadar ödüller teklif edildi.

Ronin (Axie Sonsuzluk)

Bu, kripto dünyasında şimdiye kadarki en büyük hack olarak kabul ediliyor. 23 Mart 2022'de Axie Infinity oyununun Ethereum yan zinciri olan Ronin Network, büyük bir saldırıya kurban gitti. Bilgisayar korsanları toplamda 173.600 ETH ve 25,5 milyon USDC ele geçirdi 625 milyon doların üzerinde , önceki rekor kıran kripto soygunlarını geride bıraktı.


Ronin logosu


Hack Ronin ve diğer ekosistemler arasındaki varlık transferleri için çok önemli bir bileşen olan Ronin köprüsünden yararlandı. Saldırganlar, Sky Mavis'te (Axie Infinity'nin arkasındaki şirket) barındırılan dört Ronin doğrulama anahtarının kontrolünü ele geçirdi. Blockchain'lerde bu az sayıdaki anahtarın ağın kontrolünü ele geçirmek için yeterli olması yaygındır. Planlarını tamamlamak için gazsız bir RPC düğümü aracılığıyla bir arka kapıdan yararlandılar ve Axie DAO doğrulayıcının imzasını aldılar. Bu onlara sahte para çekme işlemleri için gerekli tüm anahtarların kontrolünü sağladı.


Sky Mavis, bir kullanıcının saldırıdan altı gün sonra para çekme sorunları bildirdikten sonra ihlali tespit etti . Çalınan fonların önemli bir kısmı bilgisayar korsanlarının elinde kalırken, merkezi kripto borsaları aracılığıyla daha küçük miktarları çekmeye çalıştılar. En azından Sky Mavis sınırlı kullanıcılarına geri ödeme yapmak.


Olay, Ronin'in token fiyatının %20'den fazla düşmesine neden oldu ve halihazırda bir dizi yüksek profilli saldırıyla boğuşan DeFi alanındaki endişeleri daha da artırdı. Kripto borsaları Binance ve Huobi, çalınan fonların takip edilmesi ve Axie Infinity kullanıcılarına iade edilmesi konusunda yardımcı olma sözü verirken Sky Mavis, bilgisayar korsanlarını adalete teslim etmek için devlet kurumlarıyla işbirliği yapıyor.

Bütün bunlar Obyte gibi bir DAG'da mümkün mü?

Obyte gibi Yönlendirilmiş Asiklik Grafik (DAG) defterleri, blockchain sistemlerine kıyasla merkeziyetsizlik açısından belirli avantajlar sunabilen kendine özgü yapıya ve fikir birliği mekanizmalarına sahiptir. Ancak güvenlik açıklarına ve olası saldırılara karşı tamamen bağışık değiller.


Yönlendirilmiş Döngüsel Grafik (DAG) defterleri


Spesifik saldırı vektörleri ve potansiyel istismarlar Blok zincirlerden farklı olabilir ancak DAG tabanlı sistemler yine de çeşitli saldırı türlerine karşı duyarlı olabilir. İlgili platforma bağlı olarak bazı olası endişeler şunlardır:


  • Sybil Saldırıları: Failler, bir ağı kontrol etmek için çok sayıda sahte kimlik veya düğüm oluşturur; yapay etki ve manipülasyon yoluyla ağın güvenini, güvenliğini ve fikir birliği mekanizmalarını tehlikeye atar. Yalnızca bazı safça tasarlanmış DAG'ler bu soruna karşı savunmasızdır ve genellikle sorunu merkezileştirme yoluyla çözerler (örn. IOTA).

  • Akıllı Sözleşme Güvenlik Açıkları: Yetkisiz eylemler gerçekleştirmek, varlıkları hortumlamak veya merkezi olmayan uygulamaları kesintiye uğratmak için kodlama kusurlarından yararlanmak, genellikle mali kayıplara yol açmak.

  • Çifte Harcama: Bir kullanıcının bir kripto para birimi işlemini kopyalayarak aynı dijital varlıkları birden çok kez harcamasına olanak tanıyarak defterin bütünlüğünü baltaladığı dolandırıcılık eylemidir. Blok zincirlerinde olduğu gibi, bu sorun yalnızca kullanıcı ödemenin kesinliğini beklemeden (veya deterministik bir kesinlik yoksa yeterince uzun süre beklemeden) bir ödemeyi kabul ederse ortaya çıkar.

  • Potansiyel Merkezileşme: Bazı DAG'ler, bir ağdaki birkaç kuruluşun (şirketler, madenciler veya doğrulayıcılar gibi) aşırı kontrol veya etkisine maruz kalma, merkezi olmayan yapısını aşındırma ve potansiyel olarak güvenliğini, değişmezliğini ve güvenilirliğini tehlikeye atma riskine sahiptir. Ancak Obyte'deki Sipariş Sağlayıcılarda durum böyle değil.

  • Harici Borsaların Başarısızlıkları: Harici kripto para birimi borsalarındaki güvenlik açıkları, güvenlik ihlallerine, hack olaylarına veya borsanın iflasına yol açarak önemli mali kayıplara ve ticari faaliyetlerde kesintilere neden olabilir.


Her DAG bu sorunların tümüne duyarlı değildir ve bunlardan kaçınmak için kendi yöntemleri vardır. Dolayısıyla DAG'ler kendi avantajlarını sunsa da güvenlik endişelerinden muaf değiller. Potansiyel saldırıların spesifik doğası farklılık gösterebilir ancak merkezi olmayan bir defteri güvence altına almanın temel ilkeleri hala geçerlidir. Herhangi bir blockchain veya DAG tabanlı sistemdeki güvenlik açıklarını sürekli olarak değerlendirmek ve ele almak çok önemlidir.


Bu yüzden Obyte'in bir hata ödül programı Immunefi'de, herkes bir hatayı bulursa bildirebilir. Kritik hata başına 50.000$'a kadar teklif veriyoruz. Şu ana kadar Obyte, Immunefi aracılığıyla beyaz şapkalara yaklaşık 5.000 ABD Doları, bu program öncesindeki hata raporları için ise yaklaşık 10.000 ABD Doları ödedi. Güvenlik her türlü kripto platformu için her zaman gereklidir!




Öne Çıkan Vektör Resmi Ücretsizpik