On-chain varlık güvenliği: İnsan hatalarından kaynaklanan büyük kayıplardan nasıl kaçınılır
Merkeziyetsiz finans ve NFT gibi blockchain uygulamalarının yükselişiyle birlikte, kullanıcı varlıkları giderek merkezi platformlardan merkeziyetsiz cüzdanlara, çapraz zincir köprülerine ve kredi ürünleri gibi on-chain hizmetlere kaymaktadır. Ancak, bu trend sık sık yaşanan hacker saldırıları ve varlık hırsızlığı olaylarıyla da birlikte gelmekte, bu da blockchain ağlarının sıklıkla "hacker ATM'si" olarak adlandırılmasına neden olmaktadır.
Bu güvenlik olaylarının önemli bir kısmı kod açıklarından kaynaklanıyor, ancak aynı zamanda insan faktörlerinden de kaynaklanan bir dizi olay var. 20 Eylül'de, tanınmış bir kripto piyasa yapıcısı 160 milyon dolarlık varlık kaybı yaşadı, bu da tipik bir insan hatası vakasıdır.
1.6 milyon dolar kaybı Gas ücreti optimizasyon hatasından kaynaklanıyor
Olaydan sonra, bu piyasa yapıcısının kurucusu sosyal medyada, şirketin merkezi borsa ve OTC ticaret faaliyetlerinin etkilenmediğini, kalan sermayenin hala borcun iki katı olduğunu belirtti. Ayrıca, şirketle piyasa yapma anlaşması olan kullanıcıların varlık güvenliği konusunda vurguda bulundu. Saldırıya uğrayan 90 varlıktan yalnızca ikisinin nominal değeri 1 milyon doları aştığı için büyük bir satış baskısının olasılığı düşük.
Blockchain güvenlik şirketi Salus Security, hacker'ın adresini hızlı bir şekilde tespit etti. Bu adresin fon kaynağı, belirli bir anonim karıştırma aracı ve çeşitli borsa platformlarından büyük miktarda çekim içermektedir.
Bir blockchain veri analiz platformuna göre, çalınan 160 milyon doların yaklaşık %73'ü stabilcoin, %8'i WBTC ve %6'sı ETH'dir. Saldırgan, 114 milyon doları bir merkeziyetsiz borsa'ya likidite sağlamak amacıyla yatırarak, bu platformun üçüncü en büyük likidite sağlayıcısı oldu.
Güvenlik şirketi Slow Mist'in analizi, çalınma nedeninin Profanity aracıyla oluşturulan şık numara cüzdanları (adres 0x0000000 ile başlıyor) olabileceğini düşünüyor.
Ertesi gün, piyasa yapıcıların kurucuları, Haziran ayında Profanity ve iç araçlar kullanarak cüzdan adresleri oluşturduklarını, amacın Gas masraflarını optimize etmek olduğunu, şık numaralar peşinde olmadıklarını doğruladılar. Geçen hafta Profanity'deki bir açığı öğrendikten sonra, şirket eski anahtarları kullanmayı hızla bıraktı, ancak iç operasyon hatası nedeniyle yanlış bir fonksiyonu çağırdılar ve bu da etkilenen adreslerin imza ve yürütme yetkilerini silmelerini engelledi.
Çalınan fonların geri alınması için, kurucu tam olarak iade edilirse, hackere %10, yani 16 milyon dolar ödül verileceğini belirtti.
Gelecek operasyonlarla ilgili olarak, kurucu, bu açığın içsel insan hatasından kaynaklandığını vurguladı, ancak şirket çalışanları işten çıkarmayacak, stratejilerini değiştirmeyecek, ek fon sağlamayacak veya DeFi işini durdurmayacak.
Ancak, on-chain veriler, şirketin birkaç işlem karşı tarafına olan DeFi borcunun 200 milyon doları aştığını gösteriyor. En büyük borç, 15 Ekim'de vadesi dolacak olan 92 milyon dolarlık USDT kredisi; ayrıca 75 milyon dolar ve 22.4 milyon dolarlık diğer borçlar da bulunuyor.
Eğer çalınan fonlar zamanında geri alınamazsa, şirket borç krizi riskiyle karşılaşabilir.
Tarihin Tekrarı: İnsan Hatası Nedeniyle 20 Milyon Token Kaybı
Dikkate değer bir nokta, bu piyasa yapıcısının insan hatası nedeniyle zarar gördüğü ilk kez olmadığıdır. 9 Haziran'da, bir Layer 2 projesine token likidite hizmeti sağlarken, operasyon hatası nedeniyle 20 milyon token çalındı.
O sırada, bu Layer 2 projesi bu piyasa yapıcısını yeni çıkarılan tokenlerine likidite sağlaması için davet etti. Proje yönü piyasa yapıcısına 20 milyon tokenlik geçici bir bağışta bulundu. Piyasa yapıcı, tokenleri almak için Ethereum ana ağında çoklu imza cüzdan adresi verdi. Proje yönü, iki test işlemi gerçekleştirip onay aldıktan sonra kalan tokenleri gönderdi.
Ancak, piyasa yapıcılar Ethereum ana ağına ait çoklu imza adresi sağlıyor, ancak bu adres henüz Layer 2 ağına dağıtılmamış. Ana ağ çoklu imzasını kontrol etmek, diğer EVM uyumlu zincirleri kontrol etmeyi garanti etmediği için, piyasa yapıcılar daha sonra bu token'lara erişemediklerini fark ettiler.
Piyasa yapıcılar daha sonra işlemleri yeniden başlatmaya başladı ve L1 çoklu imza sözleşmesini L2 üzerindeki aynı adrese dağıtmayı denedi. Ancak bu süreç tamamlanmadan önce, saldırgan çoklu imzayı L2'ye önceden dağıttı ve bu 20 milyon tokeni kontrol altına aldı. Saldırgan daha sonra 1 milyon token sattı.
Neyse ki ertesi gün hacker 17 milyon tokeni iade etti, piyasa yapıcı geri kalan 2 milyon tokeni ödemeyi taahhüt etti.
Kişisel varlık güvenliği koruma önerileri
Kuruluşların sık sık insan hatalarından dolayı büyük kayıplar yaşaması nedeniyle, sıradan kullanıcıların kişisel varlıklarını korurken özellikle dikkatli olmaları gerekmektedir. İşte birkaç önemli öneri:
Üçüncü taraf araçları kullanarak cüzdan oluşturmaktan kaçının
Yerli kripto cüzdanı dışında, diğer üçüncü taraf araçları kullanarak cüzdan oluşturmaktan kaçının. Üçüncü taraf araçların, kullanıcı kayıtlarını izleme ve düşük maliyetle kötüye kullanma riski olabilir. Örneğin, bir DEX agregatörü, Profanity kullanarak oluşturulan Ethereum adreslerinin güvenlik açığı taşıdığı ve varlıkların çalınmasına neden olabileceği konusunda uyarıda bulunmuştu.
Ana cüzdan için çoklu imza etkinleştirmeyi düşünün.
Çoklu imza, yüksek frekanslı ticaret için uygun olmayabilir, ancak büyük miktarda varlık depolayan ana cüzdanlar için çoklu imzanın etkinleştirilmesi, insan hatası nedeniyle oluşacak kayıp riskini etkili bir şekilde azaltabilir.
Özel anahtarınızı kopyalayıp yapıştırarak kaydetmeyin
Özel anahtarların karmaşıklığı, kullanıcıları kopyala-yapıştır yöntemiyle saklamaya teşvik edebilir. Ancak, cihazdaki birçok üçüncü taraf uygulama veya eklenti panoya erişim iznine sahip olabilir ve kablosuz ağların güvenliği de garanti edilemez. Geçici olarak bir saldırıya uğramamış olsanız bile, bilgisayar korsanları daha fazla varlık girişi gerçekleştikten sonra hırsızlık yapmak için bekliyor olabilir.
On-chain işlemler sırasında yetkilendirilmiş sözleşmeleri ve varlıkları dikkatlice kontrol edin.
DeFi ürünlerini kullanırken, lütfen web sitesi alan adının ve blok tarayıcısındaki sözleşme adresinin resmi sürüm olup olmadığını kontrol edin. Bu, kötü niyetli sözleşmelere izin vermek için hedef alınan ön uç veya kimlik avı web siteleri nedeniyle işlem yapmaktan kaçınmanıza yardımcı olabilir.
Yetki limitlerini kontrol edin ve gereksiz yetkileri zamanında iptal edin
Sınırsız yetkilendirme daha kullanışlı olabilir, ancak bu potansiyel riskleri artırır. Gerçek kullanım ihtiyaçlarına göre yetki limitleri belirlenmesi önerilir. Artık kullanılmayan ürünler için, varlıklara erişim yetkisi derhal iptal edilmelidir.
Büyük blok zinciri tarayıcıları genellikle yetkilerin geri alınması için bir fonksiyon girişi sağlar, kullanıcılar düzenli olarak gereksiz yetkileri kontrol edip temizleyebilir.
Blockchain varlıkları bir kez çalındığında genellikle geri alınması zor olur ve birçok durumda yasal koruma altında olmayabilir. Bu nedenle, kullanıcıların on-chain işlemleri gerçekleştirirken son derece dikkatli olmaları ve varlık güvenliğini korumak için mümkün olan her türlü önlemi almaları gerekmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
4
Share
Comment
0/400
MiningDisasterSurvivor
· 07-21 15:43
Sermaye etkisiz mi? 2018'de kim böyle demiyordu ki?
View OriginalReply0
FomoAnxiety
· 07-21 15:43
sıfıra düşme, yat ve korkacak bir şey yok.
View OriginalReply0
retroactive_airdrop
· 07-21 15:43
Ticaret yaparken panik yapma, yat ve su ısıtıcısını as.
İnsan hatalarını önlemek: On-chain varlık güvenliğini nasıl koruyabilirsiniz
On-chain varlık güvenliği: İnsan hatalarından kaynaklanan büyük kayıplardan nasıl kaçınılır
Merkeziyetsiz finans ve NFT gibi blockchain uygulamalarının yükselişiyle birlikte, kullanıcı varlıkları giderek merkezi platformlardan merkeziyetsiz cüzdanlara, çapraz zincir köprülerine ve kredi ürünleri gibi on-chain hizmetlere kaymaktadır. Ancak, bu trend sık sık yaşanan hacker saldırıları ve varlık hırsızlığı olaylarıyla da birlikte gelmekte, bu da blockchain ağlarının sıklıkla "hacker ATM'si" olarak adlandırılmasına neden olmaktadır.
Bu güvenlik olaylarının önemli bir kısmı kod açıklarından kaynaklanıyor, ancak aynı zamanda insan faktörlerinden de kaynaklanan bir dizi olay var. 20 Eylül'de, tanınmış bir kripto piyasa yapıcısı 160 milyon dolarlık varlık kaybı yaşadı, bu da tipik bir insan hatası vakasıdır.
1.6 milyon dolar kaybı Gas ücreti optimizasyon hatasından kaynaklanıyor
Olaydan sonra, bu piyasa yapıcısının kurucusu sosyal medyada, şirketin merkezi borsa ve OTC ticaret faaliyetlerinin etkilenmediğini, kalan sermayenin hala borcun iki katı olduğunu belirtti. Ayrıca, şirketle piyasa yapma anlaşması olan kullanıcıların varlık güvenliği konusunda vurguda bulundu. Saldırıya uğrayan 90 varlıktan yalnızca ikisinin nominal değeri 1 milyon doları aştığı için büyük bir satış baskısının olasılığı düşük.
Blockchain güvenlik şirketi Salus Security, hacker'ın adresini hızlı bir şekilde tespit etti. Bu adresin fon kaynağı, belirli bir anonim karıştırma aracı ve çeşitli borsa platformlarından büyük miktarda çekim içermektedir.
Bir blockchain veri analiz platformuna göre, çalınan 160 milyon doların yaklaşık %73'ü stabilcoin, %8'i WBTC ve %6'sı ETH'dir. Saldırgan, 114 milyon doları bir merkeziyetsiz borsa'ya likidite sağlamak amacıyla yatırarak, bu platformun üçüncü en büyük likidite sağlayıcısı oldu.
Güvenlik şirketi Slow Mist'in analizi, çalınma nedeninin Profanity aracıyla oluşturulan şık numara cüzdanları (adres 0x0000000 ile başlıyor) olabileceğini düşünüyor.
Ertesi gün, piyasa yapıcıların kurucuları, Haziran ayında Profanity ve iç araçlar kullanarak cüzdan adresleri oluşturduklarını, amacın Gas masraflarını optimize etmek olduğunu, şık numaralar peşinde olmadıklarını doğruladılar. Geçen hafta Profanity'deki bir açığı öğrendikten sonra, şirket eski anahtarları kullanmayı hızla bıraktı, ancak iç operasyon hatası nedeniyle yanlış bir fonksiyonu çağırdılar ve bu da etkilenen adreslerin imza ve yürütme yetkilerini silmelerini engelledi.
Çalınan fonların geri alınması için, kurucu tam olarak iade edilirse, hackere %10, yani 16 milyon dolar ödül verileceğini belirtti.
Gelecek operasyonlarla ilgili olarak, kurucu, bu açığın içsel insan hatasından kaynaklandığını vurguladı, ancak şirket çalışanları işten çıkarmayacak, stratejilerini değiştirmeyecek, ek fon sağlamayacak veya DeFi işini durdurmayacak.
Ancak, on-chain veriler, şirketin birkaç işlem karşı tarafına olan DeFi borcunun 200 milyon doları aştığını gösteriyor. En büyük borç, 15 Ekim'de vadesi dolacak olan 92 milyon dolarlık USDT kredisi; ayrıca 75 milyon dolar ve 22.4 milyon dolarlık diğer borçlar da bulunuyor.
Eğer çalınan fonlar zamanında geri alınamazsa, şirket borç krizi riskiyle karşılaşabilir.
Tarihin Tekrarı: İnsan Hatası Nedeniyle 20 Milyon Token Kaybı
Dikkate değer bir nokta, bu piyasa yapıcısının insan hatası nedeniyle zarar gördüğü ilk kez olmadığıdır. 9 Haziran'da, bir Layer 2 projesine token likidite hizmeti sağlarken, operasyon hatası nedeniyle 20 milyon token çalındı.
O sırada, bu Layer 2 projesi bu piyasa yapıcısını yeni çıkarılan tokenlerine likidite sağlaması için davet etti. Proje yönü piyasa yapıcısına 20 milyon tokenlik geçici bir bağışta bulundu. Piyasa yapıcı, tokenleri almak için Ethereum ana ağında çoklu imza cüzdan adresi verdi. Proje yönü, iki test işlemi gerçekleştirip onay aldıktan sonra kalan tokenleri gönderdi.
Ancak, piyasa yapıcılar Ethereum ana ağına ait çoklu imza adresi sağlıyor, ancak bu adres henüz Layer 2 ağına dağıtılmamış. Ana ağ çoklu imzasını kontrol etmek, diğer EVM uyumlu zincirleri kontrol etmeyi garanti etmediği için, piyasa yapıcılar daha sonra bu token'lara erişemediklerini fark ettiler.
Piyasa yapıcılar daha sonra işlemleri yeniden başlatmaya başladı ve L1 çoklu imza sözleşmesini L2 üzerindeki aynı adrese dağıtmayı denedi. Ancak bu süreç tamamlanmadan önce, saldırgan çoklu imzayı L2'ye önceden dağıttı ve bu 20 milyon tokeni kontrol altına aldı. Saldırgan daha sonra 1 milyon token sattı.
Neyse ki ertesi gün hacker 17 milyon tokeni iade etti, piyasa yapıcı geri kalan 2 milyon tokeni ödemeyi taahhüt etti.
Kişisel varlık güvenliği koruma önerileri
Kuruluşların sık sık insan hatalarından dolayı büyük kayıplar yaşaması nedeniyle, sıradan kullanıcıların kişisel varlıklarını korurken özellikle dikkatli olmaları gerekmektedir. İşte birkaç önemli öneri:
Yerli kripto cüzdanı dışında, diğer üçüncü taraf araçları kullanarak cüzdan oluşturmaktan kaçının. Üçüncü taraf araçların, kullanıcı kayıtlarını izleme ve düşük maliyetle kötüye kullanma riski olabilir. Örneğin, bir DEX agregatörü, Profanity kullanarak oluşturulan Ethereum adreslerinin güvenlik açığı taşıdığı ve varlıkların çalınmasına neden olabileceği konusunda uyarıda bulunmuştu.
Çoklu imza, yüksek frekanslı ticaret için uygun olmayabilir, ancak büyük miktarda varlık depolayan ana cüzdanlar için çoklu imzanın etkinleştirilmesi, insan hatası nedeniyle oluşacak kayıp riskini etkili bir şekilde azaltabilir.
Özel anahtarların karmaşıklığı, kullanıcıları kopyala-yapıştır yöntemiyle saklamaya teşvik edebilir. Ancak, cihazdaki birçok üçüncü taraf uygulama veya eklenti panoya erişim iznine sahip olabilir ve kablosuz ağların güvenliği de garanti edilemez. Geçici olarak bir saldırıya uğramamış olsanız bile, bilgisayar korsanları daha fazla varlık girişi gerçekleştikten sonra hırsızlık yapmak için bekliyor olabilir.
DeFi ürünlerini kullanırken, lütfen web sitesi alan adının ve blok tarayıcısındaki sözleşme adresinin resmi sürüm olup olmadığını kontrol edin. Bu, kötü niyetli sözleşmelere izin vermek için hedef alınan ön uç veya kimlik avı web siteleri nedeniyle işlem yapmaktan kaçınmanıza yardımcı olabilir.
Sınırsız yetkilendirme daha kullanışlı olabilir, ancak bu potansiyel riskleri artırır. Gerçek kullanım ihtiyaçlarına göre yetki limitleri belirlenmesi önerilir. Artık kullanılmayan ürünler için, varlıklara erişim yetkisi derhal iptal edilmelidir.
Büyük blok zinciri tarayıcıları genellikle yetkilerin geri alınması için bir fonksiyon girişi sağlar, kullanıcılar düzenli olarak gereksiz yetkileri kontrol edip temizleyebilir.
Blockchain varlıkları bir kez çalındığında genellikle geri alınması zor olur ve birçok durumda yasal koruma altında olmayabilir. Bu nedenle, kullanıcıların on-chain işlemleri gerçekleştirirken son derece dikkatli olmaları ve varlık güvenliğini korumak için mümkün olan her türlü önlemi almaları gerekmektedir.