Borçlanma, ticaret ve diğer işlemler için merkezi olmayan bir altyapı oluşturmak üzere çeşitli kripto para blokajlarını birbirine bağlayan merkezi olmayan finans (DeFi) platformları, kripto para birimine yatırım yapmak ve harcamak için güvenli ve uygun bir yol olarak bankaların yerini almayı vaat ediyor. Ancak yeni bir rapora göre siber suçlular, dijital servet hayalleri olan yeni kullanıcı sürülerini çekmenin yanı sıra, onları kolay bir hedef olarak keşfettiler, cüzdanları bir anda sıfıra indirdiler, kar ederken tüm pazarları boğdular ve daha fazlası.
Bishop Fox ile analistler, DeFi platformlarının yalnızca 2021’de siber saldırılara 1,8 milyar dolar kaybettiğini buldu. Sektörün gevşek siber güvenlik uygulamalarına işaret eden rapora göre, gözlemlenen toplam 65 olayla kayıpların %90’ı karmaşık olmayan saldırılardan geldi.
Analistler, DeFi’nin geçen yıl haftada ortalama beş saldırı gerçekleştirdiğini ve bunların çoğunun (%51) “akıllı sözleşmeler” hatalarının sömürülmesinden kaynaklandığını tespit etti. Akıllı sözleşmeler, esasen blok zincirinde depolanan işlemlerin kayıtlarıdır.
Diğer en önemli DeFi saldırı vektörleri arasında kripto cüzdanlar, protokol tasarım kusurları ve sözde “halı çekme” dolandırıcılığı (yatırımcıların daha sonra terk edilen ve hedefleri değersiz bir para birimiyle bırakan yeni bir kripto para birimi projesine çekildiği) yer alıyor. Ancak birlikte ele alındığında, tüm olayların %80’i buggy kodunun kullanılmasından (ve yeniden kullanılmasından) kaynaklanmıştır, rapora göre.
Raporda, “Hızlı geliştirme ve zamandan tasarruf etme arzusu veya belki de kişinin kendi kodunu gözden geçirme veya yeniden oluşturma konusundaki tembel isteksizliği, çoğu zaman test edilmemiş ve dolayısıyla nihayetinde savunmasız kodun kullanılmasına yol açar” diyor.
Ve gerçekten de, kullanıcılar ve DeFi platformları bankacılığı yeniden icat etmeye çalışırken – ve bunu desteklemek için karmaşık yeni bir altyapı – yöneticiler güvenlik temellerinin önemini göz ardı edemez, diyor Bishop Fox’un kıdemli güvenlik danışmanı Dylan Dubeif Dark Reading’e.
“Projeniz ne kadar yenilikçi veya sofistike olursa olsun, önemsiz veya basit görünen şeyleri görmezden gelerek güvenliği unutmayın” diyor. “Önemsiz bir güvenlik açığı size en pahalıya mal olabilir.”
DeFi Akıllı Sözleşme Vuln’ları
En iyi örnek, 7,2 milyon dolarlık bir kayba yol açan 28 Mayıs BurgerSwap Dex akıllı sözleşmeyle ilgili DeFi ihlalidir. Rapora göre, bu saldırı, çok iyi bilinen güvenlik açıklarından yararlandı ve burada kullanımları kafa karıştırıcı görünüyordu. Bunlar arasında eksik bir x*y≥k kontrolünden** yararlanma ve montaj yeniden giriş saldırıları, rapora göre. Zayıflıklar, saldırganların flash kredi kötüye kullanımı ve sahte jeton kullanımı gibi iyi bilinen taktiklerden yararlanmalarına izin verdi.
Raporda, “Bunu yeterince vurgulayamıyoruz – yinelenen bir denetim süreci sürdürün ve her bir kod parçasını üretime geçmeden önce test edin” diyor. “Merkezi olmayan finansta, en kısa savunmasız kod satırı bile proje jetonlarının tamamen kaybolmasına ve projenin çökmesine neden olabilir.”
Geçen Ağustos, Cream Finance büyük bir finansal darbe aldı siber suçluların elinde, saldırı keşfedilmeden önce yaklaşık 29 milyon dolar kaybetti (Amp Coin’de 418.311.571 ve Ethereum kripto para biriminde 1.308.09).
Hack, borsa tarafından kullanılan $AMP jetonları tarafından sunulan akıllı sözleşmeler işlevindeki bir yeniden giriş hatası nedeniyle mümkün oldu.
PhishLabs araştırmacısı Joe Stewart, “Crema Finance platformunun ihlali, insan hatası (veya muhtemelen içeriden saldırılar) tarafından ortaya çıkan uzun bir akıllı sözleşme güvenlik açıkları zincirindeki en sonuncusu tarafından kolaylaştırıldı” dedi. “Kodunuza doğru işlev değiştiriciyi eklememek kadar basit bir şeyle kendinizi ayağınıza vurmak çok kolay – Cream Finance akıllı sözleşmesinin yazarına tam olarak ne oldu.”
Stewart, akıllı sözleşmelerin birbirleriyle etkileşime girdikten sonra kod denetimi için daha zor hale geldiğini de sözlerine ekledi.
Stewart, “Birbiriyle etkileşime giren (muhtemelen farklı blok zincirleri arasında bile) DeFi sözleşmelerinin artan karmaşıklığı, ayrıcalık artışına ve sözleşmede kilitli fonların kaybına yol açabilecek tüm olası kod yollarını tahmin etmeyi zorlaştırıyor” dedi.
Ön Uç DeFi Saldırıları
DeFi dijital cüzdanları ve web sitesi arayüzleri oluşturmak için kullanılan kodun, dolandırıcılar için kolay bir saldırı vektörü olduğu da kanıtlandı.
Raporda, geçen Aralık ayında BadgerDAO’ya yapılan bir saldırıda analistler, saldırganların bir API anahtarı elde etmek için bir CloudFlare güvenlik açığından yararlandıklarını ve bunun ardından sitenin kaynak kodunu değiştirerek fonları kendi kontrollerindeki cüzdanlara yönlendirmelerine izin verdiğini söyledi.
“Eylül ayının sonlarında, bir Cloudflare topluluk destek forumundaki kullanıcılar, yetkisiz kullanıcıların hesap oluşturabildiğini ve ayrıca e-posta doğrulaması tamamlanmadan önce (Silinemeyen veya devre dışı bırakılamayan) API anahtarları oluşturup görüntüleyebildiğini bildirdi.” Badger dedi bir ölüm sonrası ifade ihlal hakkında. “Saldırganın daha sonra e-postanın doğrulanmasını ve hesap oluşturma işleminin tamamlanmasını bekleyebileceği ve ardından API erişimine sahip olacağı kaydedildi.”
Flaş Kredi DeFi Saldırıları
Daha önce de belirtildiği gibi, başka bir DeFi saldırısı türü flaş kredileri içerir. Flaş kredi, belirli bir kripto para birimini alıp satmak için teminatsız bir kredidir; blok zinciri üzerinde akıllı bir sözleşme oluşturularak talep edilebilir. Ardından sözleşme, krediyi ve işlemleri bir anda yürütür.
Bir saldırıda siber suçlular bu işlevi fiyat manipülasyonu için kullanabilir. Örneğin, geçen Mayıs ayında DeFi projesi PancakeBunny, bir saldırganın büyük miktarda $Bunny jetonu çıkarması ve ardından geri dönüp onları hemen satmasından sonra buna kurban gitti. Siber suçlular bu şekilde sadece bir servet kazanmakla kalmaz, aynı zamanda tüm kripto para piyasasının değerini dakikalar içinde depolayabilirler.
“Rağmen [this] geçmişe bakıldığında acı verici derecede basit görünebilir, yaptı önemsiz olmayan sonuçlarla gerçekleşir,” diyor rapor.
PancakeBunny DeFi projesi 19 Mayıs’ta av oldu. Saldırganlar, havuzun dengesini bozmak ve değişimi tehdit aktörünün lehine yanlış hesaplamak için platformda bir hata ve flaş kredi kullandı. Daha da kötüsü, sadece birkaç gün sonra iki çatal (yani aynı blok zincirinden geliştirilen yeni DeFi toplulukları), MerlinLabs ve Autoshark aynı kod ve saldırı metodolojisi kullanılarak hedef alındı.
“Her iki projedeki ekipler de PancakeBunny kodunu çok az değişiklikle kopyaladıklarının farkında olsalar da, ilk projeden sonra sırasıyla beş ve yedi gün sonra aynı saldırıya maruz kaldılar.”
DeFi Sunucuları
Araştırmacılar, kripto cüzdanlar için özel anahtarları depolayan sunucuların da siber suçlular için başlıca hedef olduğu konusunda uyarıyor. Rapora göre, bazı durumlarda cüzdanlar çalınan anahtarlarla çalındı ve bazen yıkıcı kayıplar yaşandı; örneğin bir cüzdanın yaklaşık 60 milyon dolarlık bir bakiyesi vardı.
Raporda, “Şirketlerin temel sunucularının denetlenmesi ve sıfır güven ve en az ayrıcalık ilkeleriyle teknik ve organizasyonel önlemler (çoklu imzalı cüzdanlar gibi) eklenerek finansal kayıplar önlenebilirdi” deniyor.
DeFi Pwn-apalooza’nın Önlenmesi
Bu kadar siber suç faaliyeti varken ne yapılmalı? Bunu yanıtlamak için Bishop Fox ekibi, bu yeni dijital finansal sınırda gezinmeye çalışan kullanıcılara iki önemli tavsiyede bulundu. Birincisi, güvenli olması için hiçbir sisteme güvenmeyin; ve iki, yatırımların bir saniyede buharlaşabileceğini kabul edin.
Kullanıcılar için risk değişiklik gösterir; PolyNetwork ihlali gibi bazı durumlarda, bir saldırgan çaldı ve ardından 610 milyon dolar iade etti. kripto para ve herkes kayıplarını telafi etti. Diğer durumlarda, saldırıya uğramış DeFi platformları kadar şanslı değildi.
Sorumluluk için bir standart olmadığından, kullanıcılar en kötüsüne hazırlıklı olmalıdır. Raporda, “DeFi hakkında konuştuğumuzda, henüz hatalarından ders almamış olan acemi kripto para finansal sistemine yatırım yapmaktan bahsediyoruz” deniyor.
Araştırmacılar, işin bu kadar çok bölümünde DeFi platformlarını savunmanın özellikle zor olduğunu kabul ediyor.
Raporda, “DeFi projelerindeki saldırı yüzeyi normalden daha büyük olduğundan, ekipler tüm varlıkları korumak için yeterli önlemlerin alındığından emin olmalıdır” diyor.
