Tasarım hataları ve sağlam güvenlik standartlarının bulunmaması nedeniyle bu zamana kadar yüz milyonlarca dolarlık kayıplar içeren çok fazla saldırı oldu.
Blockchain ağ güvenliğini anlama
2022, Web3 tarihindeki en büyük bilgisayar korsanlıklarından bazılarına tanık oldu ve blok zinciri altyapısı hakkında daha önce kabul edilen varsayımlara meydan okudu ve güçlü mühendislik uygulamalarının önemini vurguladı. Bu bilgisayar korsanlıklarına daha yakından bakıldığında çoğunda ciddi mimari güvenlik açıkları olduğu ortaya çıkıyor ve neyse ki ağlar içinde daha fazla çeşitlendirme ve merkezsizleştirme sağlanarak bu sorunlar giderilebilir.
Blockchain’in yapısı: Merkezsizleştirme yoluyla ekonomik özgürlük sağlamak; ancak merkezileşme hala yaygın.
Web3’ün geleceği çok zincirli olmayı vaat ediyor, ancak köprüler gibi birçok çapraz zincir uygulaması bugüne kadar önemli güvenlik açıkları gösterdi. Proof-of-Stake (PoS) ağları, DeFi işlemleri ve blockchain köprüleri genellikle işlemleri onaylamak ve işlemek için belirli sayıda imza ve belirli sayıda doğrulayıcı gerektiren bir dizi doğrulayıcı düğüm tarafından yönetilir.
Örneğin, birçok DeFi projesi ve köprüsü bir N-of-M doğrulayıcı kurulumunu takip eder, yani ağı çalıştıran tüm M doğrulayıcı düğümlerinden en az N tanesi bir “etkinlik” (aktarım, para çekme ve/veya para yatırma) için belirli bir işlemi imzalamalıdır. Sorun şu ki, günümüzün PoS veya devredilen PoS projelerinin çoğunluğu için, yatırımcılar, vakıflar veya üçüncü taraf staking sağlayıcıları gibi yalnızca birkaç merkezi tarafça kontrol edilen az sayıda M ve daha da küçük bir N var. Tek bir varlık çok sayıda düğüm çalıştırdığında, ağ oldukça merkezi hale gelir ve güvenliği tehlikeye girer.
Yalnızca bu yılın Mayıs ayı itibarıyla, en büyük dokuz DeFi çapraz köprü saldırısında 1.5 milyar dolardan fazla varlık hacklendi. 600 milyon doların üzerinde kayıpla bugüne kadarki en kötü şöhretli blockchain hack’lerinden birinin kurbanı olan Ronin zinciri örneğinde, köprüyü toplam dokuz doğrulayıcı kontrol ediyordu. 9’a 5 doğrulayıcı kurulumu kullanıldı, yani herhangi bir para yatırma veya çekme olayını imzalamak için yalnızca beş imza gerekiyordu. Sadece bu da değil, bu dokuz düğümden dördü tek bir varlık tarafından yönetiliyordu – yani bu olayda Sky Mavis şirketi oluyor.
Daha da kötüsü, Axie Dao tarafından çalıştırılan beşinci bir düğüm, Sky Mavis düğümleri tarafından Etkin Düğüm İzin Listesi İzni’ni (yani admin_addPeer) etkinleştirdi. Esasen, beşinci düğüm ‘imzasını’ dört düğüme teslim etti. Ve admin_addPeer izin verilenler listesindeki IP hiçbir zaman kaldırılmadı. Açıkçası, dokuzdan dördünü çalıştırmak zaten sorunlu bir şeyken, üstüne etkin hakları tek bir varlığa devretmek daha da endişe verici.
Saldırganlar, bir RPC düğümü aracılığıyla dört düğümdeki bir arka kapıdan yararlanmayı başardıktan sonra, beşinci düğüme erişim elde ettiler (artık akıllı sözleşmeyi 5’e 9 ile kontrol ediyor). Sky Mavis’in ağın merkezi kontrolü, Ronin köprüsünün özel anahtar sızıntısı ve müteakip saldırı için kolay bir hedef olduğu anlamına geliyordu.
Projelerin öncelikleri güvenlik değil
O halde neden projeler düşük onaylayıcı ve imza gereksinimlerini tercih ediyor? Talihsiz bir eğilimi açığa çıkarıyor: projeler, ağ güvenliği pahasına daha hızlı bir şekilde platform oluşturmaya, daha düşük ücretlere ve daha hızlı işlem hızlarına öncelik veriyor.
Bu aynı zamanda, yakın zamanda gerçekleşen diğer saldırılarda olduğu gibi, zayıf akıllı sözleşme tasarımı ve kriptografik standartlarla sonuçlanmıştır. Bir projenin başarısında kullanıcı deneyimi önemli bir rol oynarken, kullanıcıların ve bu platformlara emanet ettikleri varlıkların güvenliği kesinlikle hayati önem taşır.
Hack’ler bu yıl bize bir şey gösterdiyse, o da blockchain projelerinin ve uygulamalarının geliştirme yol haritalarının ön saflarında temel güvenlik ilkelerini ve kriptografik standartları sürdürmesi gerektiğidir. Tamamen merkezi olmayan bir ağın elde edilmesi yıllar alabilir ve maliyetli olabilir. Projeler, kısa vadede, sağlam güvenlik standartları ile en aza indirilmiş güven kurulumlarını tesis etmelidir.
Uzun vadede, projelerin güvenliği sağlamak için mühendislik uygulamalarını iyileştirmeleri gerekiyor. Bunun büyük bir kısmı, sistemde çalışan düğümlerin farklı bir kullanıcı ve varlık tabanına dağıtılmasını sağlamak, böylece ağ merkezsizleşebilir ve dolayısıyla ağ güvenliğini artar.
Bu ek uygulamalar başlangıçta daha sıkıcı ve daha yavaş olsa da, sonunda, uzun vadede büyük ölçüde merkezi olmayan, güvene dayalı olmayan bir organizasyon için projeler oluştururlar. Blockchain projeleri için ağ güvenliği her zaman akılda tutulmalıdır.
Tasarım hataları ve sağlam güvenlik standartlarının bulunmaması nedeniyle yüz milyonlarca dolarlık kayıplar içeren çok sayıda bilgisayar korsanlığı yaşandı. Projeler, güvenlik uygulamalarına daha fazla zaman ve kaynak yatırmalı, yoksa bu durum eninde sonunda onları tekrar ısırabilir.
