gate Araştırma: Aralık 2024 için Güvenlik Olayı Özeti

Gate Araştırma'dan en son Web3 endüstrisi güvenlik raporuna göre, Aralık ayında toplam 27 güvenlik olayı meydana geldi ve yaklaşık 4.11 milyon dolarlık kayıplara neden oldu. Olayların çeşitli olduğu, sözleşme zafiyetlerinin toplam kayıpların %72'sini oluşturarak hala ana tehdit olmaya devam ettiği belirtildi. Rapor ayrıca FEG zafiyeti, Clober sözleşme zafiyeti, Clipper DEX sözleşme zafiyeti ve HarryPotterObamaSonic10Inu flash kredi saldırısı da dahil olmak üzere önemli güvenlik olaylarının detaylı analizini sunmaktadır. Sözleşme zafiyetleri ve hesap hack'leri ayın ana güvenlik riskleri olarak belirlendi ve endüstrinin güvenlik önlemlerini güçlendirmeye olan sürekli ihtiyacını vurguladı.

Ana Hatları

• Aralık 2024'te, Web3 endüstrisi yaklaşık 4,11 milyon dolarlık kayba neden olan 27 güvenlik olayı yaşadı, önceki aya göre önemli bir azalma yaşandı.
• Bu ayki güvenlik olayları genellikle sözleşme açıklarını ve hesap hack'lerini içermiştir.
• Sözleşme güvenlik açıkları, kripto para birimi sektöründeki güvenlik olaylarının toplam kayıplarının %72'sini oluşturmaya devam etmektedir.
• Çoğu kayıp, BSC, Ethereum, Cardano ve Base dahil olmak üzere büyük blok zincirleri boyunca meydana geldi.
• Bu ay yaşanan önemli olaylar arasında FEG güvenlik açığı ($1 milyon kayıp), Clober sözleşme açığı ($500,000 kayıp), Vestra DAO sözleşme açığı ($500,000 kayıp), Moonhacker hesap hackleme ($320,000 kayıp) ve HarryPotterObamaSonic10Inu flash kredisi saldırısı ($243,000 kayıp) yer alıyor.

Güvenlik Olaylarının Genel Bakışı

Slowmist verilerine göre, Aralık 2024'te toplam 27 hack olayı gerçekleşti ve bu olaylar sonucunda 4.11 milyon dolarlık zarar meydana geldi. Saldırılar genellikle sözleşme zafiyetleri, hesap hack'leri ve diğer yöntemlerle gerçekleşti. Kasım ayına göre, hem olay sayısı hem de toplam zarar önemli ölçüde azaldı, bu da endüstri güvenlik önlemlerinin ve farkındalığın arttığını göstermektedir. Sözleşme zafiyetleri saldırıların başlıca nedeni olmaya devam etmektedir ve dokuz olay, toplam zararın %72'sini oluşturan 2.98 milyon dolarlık kayba neden olmuştur. Resmi X hesapları ve kripto para projesi web siteleri hâlâ hacker'ların başlıca hedefleri olmaya devam ediyor [1].

Bu ayın genel blok zincirleri üzerindeki güvenlik olaylarının dağılımı, çoğu kaybın özellikle Ethereum ve Base gibi olgun ve popüler birkaç blok zincirinde yoğunlaştığını gösteriyor. Sırasıyla 2.01 milyon dolar ve 950,000 dolarlık kayıplarla, bu, genel blok zincirlerinin sağlam temel güvenliğine rağmen, uygulama katmanındaki zayıflıklar ve akıllı sözleşmeler hala kullanıcı fonları için önemli riskler oluşturduğunu vurgulamaktadır.

Bu ay birçok blockchain projesi önemli güvenlik olayları yaşadı ve önemli finansal kayıplar yaşandı. Önemli olaylar arasında 1 milyon dolar kayıp yaşatan FEG güvenlik açığı, 500.000 dolar kayıp yaşatan Clober sözleşme açığı, 500.000 dolar kayıp yaşatan Vestra DAO sözleşme açığı ve 457.000 dolar kayıp yaşatan Clipper DEX sözleşme açığı bulunmaktadır.

Aralık Ayında Önemli Güvenlik Olayları

Resmi açıklamalara göre, Aralık ayında 3,22 milyon doları aşan zarara uğrayan aşağıdaki projeler oldu. Bu olaylar sözleşme güvenlik açıklarının hala ciddi bir tehdit oluşturmaya devam ettiğini göstermektedir.

• Saldırganlar, Clipper tarafından kullanılan akıllı sözleşmedeki bir güvenlik açığından yararlandı ve tek varlık depozito/çekme işlemini manipüle etti. Bu işlem, Optimism ve Base ağlarındaki likidite havuzlarına etki etti, havuz varlıklarında dengesizlik oluşturdu ve saldırganlara yatırdıklarından daha fazlasını çekmelerine olanak sağladı. Saldırı sonucunda yaklaşık 457.878 dolar kaybedildi.
• Vestra DAO, bir hacker'ın kilitli stake sözleşmesindeki bir açığı sömürerek ödül mekanizmasını manipüle ettiğini ve haklarında ne kadar ödül olması gerektiğinden fazla ödül kazandığını tweetledi. Olay, 73.720.000 VSTR jetonunun çalınmasına neden oldu. Çalınan jetonlar Uniswap'ta kademeli olarak satıldı ve ETH'de yaklaşık 500.000 dolarlık bir likidite kaybına neden oldu. VSTR token ekonomisini ve projenin istikrarını korumak için kalan 755.631.188 VSTR token kalıcı olarak dolaşımdan kaldırıldı.
• Base Network üzerine inşa edilen Clober DEX'teki likidite kasası saldırıya uğradı ve 133.7 ETH (yaklaşık $501,000) kaybedildi. Ekip, açığı belirleyenlere çalınan fonların %20'sini ödül olarak sundu ve kalan varlıkların geri kazanılmasını umdu. Ancak müzakerelerde anlaşma sağlanamadı.
• HarryPotterObamaSonic10Inu, Ethereum'da bir flaş kredi saldırısına uğradı, HarryPotterObamaSonic10Inu 2.0 jetonunun likidite havuzunu hedef alan sömürücü işlemleri içeren. Saldırgan yaklaşık olarak 243.000 dolar kar elde etti ve fonları Tornado Cash'e yatırdı.
• FEG projesi bir güvenlik açığı saldırısı sonucunda yaklaşık 1 milyon dolar kaybına uğradı. Analiz, çapraz zincir mesajlaşması ve token transferleri için kullanılan temel Wormhole çapraz zincir köprüsüyle entegrasyon sırasında bir bileşim sorunu olduğunu göstermektedir. Ekip merkezi borsalardaki tüm FEG işlemlerini askıya aldı ve SmartDeFi protokolü de durduruldu.

Clipper DEX

Proje Genel Bakışı: Clipper, küçük kripto para tüccarlarına (10.000 $'dan az) en iyi oranları sağlamak için tasarlanmış merkezi olmayan bir borsadır (DEX). Bununla, likiditeyi sınırlayarak ve geçici kaybı azaltarak başarılır.

Olay Genel Bakış: Clipper tarafından yayınlanan bir analiz raporuna göre, 1 Aralık 2024 tarihinde saldırganlar, Clipper tarafından kullanılan akıllı sözleşmedeki bir zafiyeti kullanarak, tek varlıklı depozito/çekilme işlemini manipüle etmiştir. Bu işlem, Optimism ve Base ağlarındaki likidite havuzlarını etkiledi, havuz varlıklarında bir dengesizliğe neden oldu ve saldırganların yatırdıklarından daha fazla varlık çekmelerine izin verdi. Saldırı sonucunda yaklaşık 457.878 dolarlık bir kayıp meydana geldi.

Birkaç saat içinde, AdmiralDAO acil bir tepki planı başlattı, protokoldaki kalan fonları korumak ve saldırıyı durdurmak için hızla önlemler aldı. Tepkiden sonra ek fonlar etkilenmedi[2].

Olay Sonrası Tavsiyeleri:

• Invariant Kontrollerini Genişletin: Tek varlık çekilmeleri sırasında havuzun tekdüze kalmasını sağlamak için zincir üzerinde doğrulama uygulayın. Bu, takas sözleşmelerinin en son sürümünde Clipper'ın uyguladığı kontroller gibi olacaktır.
• Oracle Fiyat Doğrulamasını Genişletin: Clipper'ın en son sözleşme sürümünde olduğu gibi, mevduat ve çekim işlemleri için varlık değeri doğrulamasına zincir üzerindeki fiyat oracle'larını entegre edin.
• Yatırımların Kısa Vadeli Kilitlenmesini Düşünün: Yeni yatırımların yatırım imzasının geçerliliğini aşan bir kilitlenme süresine tabi olması durumunda (örneğin, birkaç dakika), bu saldırı mümkün olmazdı.

Vestra DAO

Proje Genel Bakış: VSTR, yarı merkezi olmayan, Web2+Web3 hibrit hizmetler sunan CMLE (Crypto Monster Limited Edition) NFT topluluğu tarafından geliştirilen bir jeton. DeFi çözümleri sunan, merkezi olmayan özerk bir organizasyon (DAO) projesi olarak faaliyet gösterir.

Olay Genel Bakış: Vestra DAO, 4 Aralık 2024'te, kilitli staking sözleşmesindeki bir açıklıktan yararlanan bir hacker'ın ödül mekanizmasını manipüle ederek vadesinden önce aşırı ödüller kazandığını tweetledi. Olay, toplam 73.720.000 VSTR jetonunun çalınmasına yol açtı. Çalınan jetonlar aşamalı olarak Uniswap'te satıldı ve ETH likiditesinde yaklaşık 500.000 dolarlık bir kayba neden oldu.

Ekip hızla sorunu tespit etti ve hemen harekete geçerek kilitli staking sözleşmesini kara listeye aldı, böylece bu sözleşmelerle daha fazla etkileşim engellendi. Sonuç olarak, staking havuzunda bulunan 755,631,188 VSTR jetonu dolaşımdan kaldırıldı ve bu sözleşmelerdeki fonlar artık çekilemez hale geldi. 6 Aralık'ta, VSTR tokenomics'in ve projenin istikrarını korumak için kalan 755,631,188 VSTR jetonunun kalıcı olarak dolaşımdan kaldırılacağı açıklandı[3].

Olay Sonrası Öneriler:

• Kapsamlı Kontrat Güvenlik Denetimleri ve Optimizasyonu Yapın
  Güvenilir bir üçüncü taraf güvenlik denetimi firması kiralamak, özellikle staking ve kilitli sözleşmeleri detaylı bir şekilde incelemek için. Odak noktası izin yönetimi, sınırlama durumu işleme ve kod mantığı güvenliği olmalıdır. Denetimden sonra, sözleşme kodu önerilere göre optimize edilmeli ve denetim raporu şeffaflığı ve kullanıcı güvenini artırmak için kamuya açık hale getirilmelidir.

• Çok katmanlı koruma mekanizmaları ve gerçek zamanlı izleme dağıtın

• Zaman Kilidi İşlevselliğini Uygulayın: Anahtar operasyonları için zaman gecikmeleri tanıtarak, operasyonları duraklatmak veya anormallik durumunda müdahale etmek için yeterli zamanın olduğundan emin olun.
• Gerçek Zamanlı İzleme ve Uyarı Sistemlerini Tanıtın: Blok zinciri veri analizi kullanarak anormal ticaret davranışlarını veya sözleşme etkileşimlerini gerçek zamanlı olarak tespit edin ve şüpheli faaliyetleri bildiren uyarı sistemleri uygulayın, zayıflıklardan kaynaklanan potansiyel kayıpları en aza indirin.

Clober Dex

Projeye Genel Bakış: Clober, merkezi olmayan akıllı sözleşme platformlarında zincir üstü emir eşleştirme ve ödemeye izin veren tamamen zincir üstü bir emir defteri DEX'idir. Clober ile piyasa katılımcıları, yönetilebilir maliyetlerle tamamen merkezi olmayan ve güvene dayalı olmayan limit ve piyasa emirleri verebilir.

Olay Genel Bakış:
10 Aralık 2024 tarihinde, Base Network üzerindeki Clober DEX'in likidite kasası saldırıya uğradı ve 133.7 ETH (yaklaşık olarak 501.000 dolar) kaybedildi. Saldırının kök nedeni, Rebalancer sözleşmesi içindeki _burn() fonksiyonunda bulunan bir yeniden girme açığıydı.

Ekip, güvenlik açığını belirleyenler için çalınan fonların %20'sini ödül olarak sundu, geri kalan varlıkların geri verilebilmesi koşuluyla. Ayrıca, saldırgan işbirliği yaparsa yasal işlem yapılmayacağına dair ekip güvence verdi. 31 Aralık 2024 tarihinde, ekip müzakerelerin bir uzlaşıya varmadığını ve saldırganın çalınan varlıkları Tornado Cash'e taşıdığını belirtti. Ekip, saldırganın kökenini izlemek için yasal yaptırım birimleriyle işbirliği yapıyor[4].

Olay Sonrası Önerileri:

• Geliştirilmiş Akıllı Kontrat Güvenliği: Proje ekibi, akıllı kontratların güvenlik incelemesini güçlendirmelidir. Tüm kodlar, dağıtımdan önce titiz denetimlerden geçmeli ve düzenli olarak zayıflıklar taranmalıdır, böylece saldırı riskleri azaltılabilir.
• Güçlü Fon Yönetimi Stratejileri: Aşırı varlık birikimini önlemek için çok imzalı cüzdanlar ve katmanlı fon depolama sistemlerini uygulayarak, saldırı durumunda olası kayıpları azaltır.
• Güvenlik Kuruluşlarıyla İş Birliği: Blok zinciri güvenlik ekipleri ve kolluk kuvvetleri ile hızlı iş birliği, bir olaydan sonra hasarı etkili bir şekilde kontrol altına alabilir ve varlıkların kurtarılmasını hızlandırabilir.

HarryPotterObamaSonic10Inu

Proje Genel Bakışı: HarryPotterObamaSonic10Inu, kripto varlıkların en üstün formudur. BITCOIN'den ilham alan proje, yeni ve eğlenceli meme içeriğinin oluşturulmasını teşvik etmektedir. Sahipliğin bırakılması ve likiditenin kilitlenmesiyle, giderek büyüyen topluluk öncülük etmektedir. Efsanevi Bitcoin meme'sinden ilham alan proje, benzersiz bir web sitesi, özel ürünler ve bir e-ticaret platformu geliştirmektedir. Amaç, aktif topluluk üyelerinin etkileşimde bulunabileceği ve işbirliği yapabileceği bir ekosistem oluşturmaktır.

Olay Genel Bakışı:
18 Aralık 2024 tarihinde, HarryPotterObamaSonic10Inu 2.0 jetonunun Ethereum ağındaki likidite havuzuna yönelik bir dizi sömürücü işlem gerçekleşti. Saldırgan yaklaşık 243.000 dolar kar elde etti ve fonları Tornado Cash'e transfer etti.

Sonraki dört gün boyunca, token fiyatı yaklaşık -33.42% oranında önemli bir düşüş yaşadı ve piyasa değeri 245 milyon dolardan 168 milyon dolara düştü[5]. \

Olay Sonrası Öneriler:

• Akıllı Sözleşme Güvenlik Denetimlerini ve Optimize Edilmesini Geliştirin
  Mevcut akıllı sözleşmelerin likidite havuzu mantığı ve erişim kontrolü üzerine kapsamlı bir güvenlik denetimi için üçüncü bir profesyonel kuruluşla işbirliği yapın. Zayıflıklar düzeltilmeli ve sözleşme kodu optimize edilmelidir. Zaman kilitleme ve hız sınırlama gibi mekanizmalar, kısa bir zaman diliminde kötü niyetli işlemleri önlemek için eklenmelidir.

• On-Chain Fiyat Orakulunu Entegre Et
  Depozito ve çekim işlemleri sırasında varlık fiyatlarını doğrulamak için güvenilir zincir dışı oracle'lar entegre edin, böylece işlemler gerçek piyasa değerleriyle uyumlu olur ve fiyat manipülasyonu yoluyla fonların manipüle edilmesi önlenir.

• Topluluk Şeffaflığını ve Güvenini Artırın
  Olay soruşturmasının ve düzeltme planının sonuçlarını yayınlayarak, bilgi şeffaflığını ve kullanıcı toplumu içinde güven oluşturmayı sağlayın.

FEG

FEG tokeni, merkezi olmayan bir borsa ve pasif gelir teşvik mekanizmaları içeren FEG ekosistemi içindeki bir deflasyonist yönetişim tokenidir. Amacı, merkezi olmayan ticaret ağlarının işletme modelini yeniden şekillendirmektir. Token hem Ethereum hem de Binance Smart Chain ağlarında mevcuttur.

Olay Genel Bakış:
29 Aralık 2024 tarihinde, FEG projesi güvenlik açığı saldırısına hedef oldu ve yaklaşık 1 milyon dolarlık bir kayıp yaşandı. Olayın temel nedeni, çapraz zincir mesajlaşma ve token transferlerini mümkün kılan temel Wormhole çapraz zincir köprüsünün entegrasyonuyla ilgili bir bileşilebilirlik sorunu gibi görünmektedir. Wormhole Vakfı daha sonra Wormhole protokolü içinde herhangi bir sorun bulunmadığını ve saldırının Wormhole ile ilgisi olmadığını açıkladı.

Olaydan sonra, ekip merkezi borsalardaki tüm FEG işlemlerini askıya aldı ve kapsamlı bir soruşturma başlattı. SmartDeFi sözleşme kodu doğrudan etkilenmedi, ancak önlem olarak SmartDeFi protokolü de durduruldu. Bununla birlikte, protokoldeki tüm projeler şu ana kadar güvende kalmıştır[6].

Olay Sonrası Öneriler:

• Kapsamlı Bir Güvenlik Denetimi Gerçekleştirin: Akıllı sözleşmelerin ve platform kodunun kapsamlı bir güvenlik denetimi için üçüncü taraf bir profesyonel kuruluşla anlaşın ve erişim kontrolü, mantıksal hatalar ve kod açıkları üzerinde odaklanın. Denetim sonuçlarına dayanarak, tespit edilen herhangi bir sorunu hemen çözün ve denetim raporunu kullanıcı güvenini artırmak için herkese açık hale getirin.
• Bir Zayıflık Bildirme ve Ödül Programı Kurun: Güvenlik araştırmacılarını ve etik hackerları potansiyel zayıflıkları belirlemeye ve bildirmeye teşvik etmek için sürekli bir hata ödül programı başlatın. Bu, gelecekteki güvenlik risklerini azaltmak için zayıflıklara hızlı bir şekilde çözüm bulmaya yardımcı olacaktır.
• Varlık Koruma ve Kullanıcı Tazminat Mekanizmalarını Geliştirme: Gerçek zamanlı olarak anormal işlemlerin izlenmesi, zaman kilidi işlevlerinin uygulanması ve çoklu imza cüzdanlarının kullanılması gibi çok katmanlı varlık koruma sistemleri geliştirmek. Etkilenen kullanıcılar için adil ve şeffaf bir tazminat planı oluşturarak kullanıcı güvenini geri kazanmak ve finansal kayıpları en aza indirmek.

Sonuç

Aralık 2024'te, birden fazla DeFi projesi güvenlik açıklarına hedef oldu ve milyonlarca dolarlık varlık kaybına neden oldu. Bu olaylar arasında Clober DEX likidite kasa saldırısı, FEG'nin Wormhole ile entegrasyonundan kaynaklanan bir çapraz zincir saldırı, Vestra DAO'daki staking açığı, Clipper DEX'in tek varlık çekme özelliğinin manipülasyonu ve HarryPotterObamaSonic10Inu üzerinde bir flash kredisi saldırısı yer aldı. Bu olaylar, akıllı sözleşme güvenliği, çapraz zincir protokol bileşilebilirliği ve likidite havuzu yönetimindeki önemli riskleri ortaya koydu. Endüstri acilen akıllı sözleşme denetimlerini güçlendirmeli, gerçek zamanlı izleme uygulamalı ve platform güvenliğini ve kullanıcı güvenini artırmak için çok katmanlı koruma mekanizmalarını benimsemelidir. Gate.io, kullanıcıları güvenlik gelişmelerine güncel kalmaları, güvenilir platformları seçmeleri ve kişisel varlık korumasını artırmaları konusunda uyarır.


Referans:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Araştırma
Gate Araştırma, okuyuculara teknik analiz, sıcak içgörüler, piyasa değerlendirmeleri, sektör araştırmaları, trend tahminleri ve makroekonomik politika analizi de dahil olmak üzere derinlemesine içerik sağlayan kapsamlı bir blockchain ve kripto araştırma platformudur.

Tıklayın Bağlantıdaha fazlasını öğrenmek için

Açıklama
Kripto para piyasasında yatırım yapmak yüksek risk içerir ve kullanıcıların bağımsız araştırma yapmaları ve varlıkların ve ürünlerin doğasını tam olarak anlamaları önerilir.satın almaherhangi bir yatırım kararı vermeden önce.Gate.iobu yatırım kararları tarafından sebep olan herhangi bir kayıp veya hasardan sorumlu değildir.