Web3 Alanında 2022 Yılı İlk Yarısında Hacker Saldırı Yöntemleri Analizi

2022 yılının ilk yarısında, Web3 alanında birçok önemli güvenlik olayı yaşandı. Verilere göre, akıllı sözleşme açıklarından kaynaklanan ana saldırı vakalarının sayısı toplamda 42'dir ve toplamda 640 milyon dolara kadar kayıplara neden olmuştur. Bu saldırıların yaklaşık %53'ü sözleşme açıklarını kullanmıştır.

Kullanılan tüm güvenlik açıkları arasında, mantıksal veya işlev tasarım hataları, hackerların en yaygın saldırı yöntemidir; ardından doğrulama sorunları ve yeniden giriş açıkları gelmektedir. Bu güvenlik açıkları yalnızca sıkça ortaya çıkmakla kalmıyor, aynı zamanda büyük kayıplara da neden olmaktadır.

Önemli Güvenlik Olayları Gözden Geçirme

2022 Şubat'ta, bir çoklu zincir köprü projesi saldırıya uğradı ve yaklaşık 3.26 milyar dolar kaybedildi. Hacker, sözleşmede bulunan imza doğrulama açığını kullanarak sahte hesaplarla varlık oluşturdu.

Nisan ayının sonlarında, bir borç verme protokolü, flaş kredi ile birlikte yeniden giriş saldırısına uğradı ve 80 milyon dolardan fazla kayıp verdi. Bu saldırı projeye ölümcül bir darbe vurdu ve sonunda projenin kapanmasına yol açtı.

Saldırgan aşağıdaki adımları izleyerek saldırıyı gerçekleştirir:

1. Belirli bir agregat protokolünden flash kredi alın.
2. Hedef protokolün reentrancy açığını kullanarak borç verme işlemi
3. Oluşturulan saldırı fonksiyonu geri çağrısı ile etkilenen havuzdaki varlıkları boşaltmak
4. Flash kredisini geri öde, kazancı transfer et

Yaygın Açık Türleri

Akıllı sözleşme denetiminde en yaygın açıklar dört ana kategoriye ayrılmaktadır:

1. ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim fonksiyonuna kötü niyetli kod yerleştirerek, yanlış iş mantığı ile yeniden giriş gerçekleştirmek.

2. Mantık Açığı:
   • Özel senaryo dikkate alınmadı, örneğin kendi kendine transfer varlıkların havada artmasına neden oluyor.
   • Fonksiyon tasarımı eksik, ana işlemlerin işlevselliği eksik.

3. Yetki kontrolü eksikliği: Ana işlevler (örneğin, madeni para basma, rol ayarlama) etkili bir yetki doğrulamasından yoksundur.

4. Fiyat manipülasyonu:
   • Oracle yanlış kullanımı, zaman ağırlıklı ortalama fiyat kullanılmaması
   • Fiyat temelini doğrudan sözleşme içindeki bakiye oranını kullanarak belirleyin

Açık Koruma Önerileri

Bu açıkları önlemek için proje ekibi şunları yapmalıdır:

1. "Kontrol - Geçerlilik - Etkileşim" güvenli geliştirme modeline sıkı bir şekilde uyulmalıdır.
2. Çeşitli sınır senaryolarını kapsamlı bir şekilde dikkate alarak, işlev tasarımını mükemmelleştirmek
3. Sıkı bir yetki yönetim mekanizması uygulamak
4. Güvenilir fiyat oracle'ları kullanın ve zaman ağırlıklı ortalama fiyatı makul bir şekilde kullanın.

Ayrıca, profesyonel akıllı sözleşme denetimi son derece önemlidir. Otomatik araçlar ve uzman manuel incelemeleri birleştirerek, proje yayına alınmadan önce çoğu potansiyel açığı tespit edip düzeltebilir, sözleşme güvenliğini önemli ölçüde artırabilirsiniz.