Web3 Alanında 2022 Yılı İlk Yarısında Hacker Saldırı Yöntemleri Analizi
Son zamanlarda yayımlanan bir Web3 güvenlik raporu, 2022 yılının ilk yarısında blok zinciri güvenlik alanındaki genel durumu derinlemesine analiz etti. Bu yazıda, bu dönemde Web3 Hacker'ların sıkça kullandığı saldırı yöntemlerine odaklanacak, en sık karşılaşılan açık türlerini ve bunların önleme yöntemlerini tartışacağız.
Açığın Neden Olduğu Toplam Kayıp
Veriler, 2022 yılının ilk yarısında toplamda 42 büyük sözleşme açığı saldırısı olayı gerçekleştiğini ve bu olayların tüm saldırı olaylarının yaklaşık %53'ünü oluşturduğunu gösteriyor. Bu saldırıların neden olduğu toplam kayıp 644 milyon dolara kadar yükseldi.
Kullanılan tüm açıklar arasında, mantıksal veya işlev tasarımındaki yanlışlıklar, hackerların en sık kullandığı açıklar olup, ardından doğrulama sorunları ve yeniden giriş açıkları gelmektedir.
Önemli Kayıp Vaka Analizi
2022'nin Şubat ayında, bir çapraz zincir köprü projesi saldırıya uğradı ve yaklaşık 3.26 milyar dolar kaybedildi. Hacker, projenin sözleşmesindeki imza doğrulama açığından yararlanarak, sahte hesaplar oluşturup büyük miktarda token basımı gerçekleştirdi.
2022 yılı Nisan ayında, bir borç verme protokolü flash kredi saldırısına uğradı ve 80.34 milyon dolar kaybedildi. Bu saldırı, proje ekibinin büyük bir kayıp yaşamasına neden oldu ve sonunda kapanmak zorunda kaldılar.
Saldırgan, protokolün temel akıllı sözleşmesindeki reentrancy açığını kullanarak, geri çağırma fonksiyonunu yapılandırarak etkilenen fon havuzundaki tüm tokenleri çıkardı. Tüm saldırı süreci, flash krediler, teminatlı borç alma ve reentrancy saldırısı gibi birçok aşamayı içeriyordu.
Denetim sırasında yaygın güvenlik açıkları türleri
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim fonksiyonunda kötü niyetli kod bulunması, yeniden giriş saldırısına yol açabilir.
Mantık açığı:
Özel senaryoların yeterince dikkate alınmaması, örneğin kendine transfer yapmanın sonucunda var olmayan bir durumun yaratılması.
Fonksiyon tasarımı eksik, örneğin çekim veya tasfiye işlevi yok.
Yetkilendirme Eksikliği: Ana işlevler için yetki kontrolü ayarlanmamış.
Fiyat manipülasyonu: Orakların yanlış kullanımı veya doğrudan güvenilir olmayan fiyat verilerinin kullanımı.
Gerçekten Kullanılan Açıklar ve Denetlenebilirlik
Gerçekten hackerlar tarafından kullanılan açıklar, denetim sırasında tespit edilen açıklarla yüksek oranda örtüşmektedir; burada sözleşme mantığı açıkları hala ana saldırı hedefidir.
Dikkate değer olan, profesyonel bir akıllı sözleşme doğrulama platformu ve güvenlik uzmanlarının manuel incelemesi aracılığıyla, bu açıkların proje lansmanından önceki denetim aşamasında tespit edilebilmesidir. Güvenlik uzmanları değerlendirme sonrasında uygun düzeltme önerileri sunarak, proje sahiplerinin potansiyel riskleri önceden ortadan kaldırmalarına yardımcı olabilir.
Özetle, Web3 alanı karmaşık güvenlik zorluklarıyla karşılaşsa da, sıkı güvenlik denetimleri ve zamanında güvenlik açıklarının kapatılması yoluyla saldırıya uğrama riski önemli ölçüde azaltılabilir. Proje ekipleri, güvenlik denetim çalışmalarını ciddiye almalı ve bunu proje geliştirme sürecinin vazgeçilmez bir parçası olarak görmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
6
Repost
Share
Comment
0/400
GateUser-c799715c
· 2h ago
Sözleşme nasıl bu kadar çalındı? Pantolonum bile kalmadı.
View OriginalReply0
CryptoMom
· 6h ago
Yine emiciler tarafından oyuna mı getirildin? Bu çağda sözleşmeler bile pek güvenilir değil.
View OriginalReply0
GasDevourer
· 08-14 15:19
Bu parayla ne kadar gas ücreti alabilirim?
View OriginalReply0
AirdropBuffet
· 08-14 15:16
Büyük bir hata. Proje Ekibi en azından önce bir denetim yapmalı.
View OriginalReply0
MintMaster
· 08-14 15:02
Açıklar kapatmak, madencilik yapmaktan daha kârlı değil.
View OriginalReply0
DeFiChef
· 08-14 14:53
Yine köprü hedef alındı, Proje Ekibi akıllı sözleşme yazmayı öğrenemiyor mu?
Web3 güvenlik raporu: 2022 yılının ilk yarısında sözleşme açıkları 644 milyon dolar kayıba neden oldu
Web3 Alanında 2022 Yılı İlk Yarısında Hacker Saldırı Yöntemleri Analizi
Son zamanlarda yayımlanan bir Web3 güvenlik raporu, 2022 yılının ilk yarısında blok zinciri güvenlik alanındaki genel durumu derinlemesine analiz etti. Bu yazıda, bu dönemde Web3 Hacker'ların sıkça kullandığı saldırı yöntemlerine odaklanacak, en sık karşılaşılan açık türlerini ve bunların önleme yöntemlerini tartışacağız.
Açığın Neden Olduğu Toplam Kayıp
Veriler, 2022 yılının ilk yarısında toplamda 42 büyük sözleşme açığı saldırısı olayı gerçekleştiğini ve bu olayların tüm saldırı olaylarının yaklaşık %53'ünü oluşturduğunu gösteriyor. Bu saldırıların neden olduğu toplam kayıp 644 milyon dolara kadar yükseldi.
Kullanılan tüm açıklar arasında, mantıksal veya işlev tasarımındaki yanlışlıklar, hackerların en sık kullandığı açıklar olup, ardından doğrulama sorunları ve yeniden giriş açıkları gelmektedir.
Önemli Kayıp Vaka Analizi
2022'nin Şubat ayında, bir çapraz zincir köprü projesi saldırıya uğradı ve yaklaşık 3.26 milyar dolar kaybedildi. Hacker, projenin sözleşmesindeki imza doğrulama açığından yararlanarak, sahte hesaplar oluşturup büyük miktarda token basımı gerçekleştirdi.
2022 yılı Nisan ayında, bir borç verme protokolü flash kredi saldırısına uğradı ve 80.34 milyon dolar kaybedildi. Bu saldırı, proje ekibinin büyük bir kayıp yaşamasına neden oldu ve sonunda kapanmak zorunda kaldılar.
Saldırgan, protokolün temel akıllı sözleşmesindeki reentrancy açığını kullanarak, geri çağırma fonksiyonunu yapılandırarak etkilenen fon havuzundaki tüm tokenleri çıkardı. Tüm saldırı süreci, flash krediler, teminatlı borç alma ve reentrancy saldırısı gibi birçok aşamayı içeriyordu.
Denetim sırasında yaygın güvenlik açıkları türleri
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim fonksiyonunda kötü niyetli kod bulunması, yeniden giriş saldırısına yol açabilir.
Mantık açığı:
Yetkilendirme Eksikliği: Ana işlevler için yetki kontrolü ayarlanmamış.
Fiyat manipülasyonu: Orakların yanlış kullanımı veya doğrudan güvenilir olmayan fiyat verilerinin kullanımı.
Gerçekten Kullanılan Açıklar ve Denetlenebilirlik
Gerçekten hackerlar tarafından kullanılan açıklar, denetim sırasında tespit edilen açıklarla yüksek oranda örtüşmektedir; burada sözleşme mantığı açıkları hala ana saldırı hedefidir.
Dikkate değer olan, profesyonel bir akıllı sözleşme doğrulama platformu ve güvenlik uzmanlarının manuel incelemesi aracılığıyla, bu açıkların proje lansmanından önceki denetim aşamasında tespit edilebilmesidir. Güvenlik uzmanları değerlendirme sonrasında uygun düzeltme önerileri sunarak, proje sahiplerinin potansiyel riskleri önceden ortadan kaldırmalarına yardımcı olabilir.
Özetle, Web3 alanı karmaşık güvenlik zorluklarıyla karşılaşsa da, sıkı güvenlik denetimleri ve zamanında güvenlik açıklarının kapatılması yoluyla saldırıya uğrama riski önemli ölçüde azaltılabilir. Proje ekipleri, güvenlik denetim çalışmalarını ciddiye almalı ve bunu proje geliştirme sürecinin vazgeçilmez bir parçası olarak görmelidir.