Merkezi olmayan finans, doğası gereği riskli bir bahistir. Son aylarda, merkezi olmayan finans platformlarını hedef alan birkaç saldırı, çeşitli kripto para birimlerinde birkaç milyon dolarlık hırsızlığa yol açtı. Bazı durumlarda saldırıların failleri parayı iade etmeyi kabul ederken, diğer durumlarda çalınan fonları tutmayı tercih ettiler ve bu tutarları kullanıcılarıyla birlikte geri ödemeyi ayarlamak için kurban şirketlere bıraktılar.
Nisan ayı başlarında yayınlanan bir blog yazısında, Amerikan şirketi Chainalysis, son aylarda merkezi olmayan finans sektörünü sarsan birçok hack’e geri döndü. Zayıflamak üzere gibi görünmeyen bir trend: “2022’nin ilk üç ayında çalınan tüm kripto para birimlerinin yaklaşık %97’si DeFi protokollerinden alındı, bu oran 2021’de %72 ve 2020’de sadece %30’du” diye belirtiyor Chainalysis. sonuçlarına göre, 2021’deki kripto para birimi hırsızlıklarının 3,2 milyar dolar olduğunu söyledi.
Akıllı sözleşmeler her zaman çok akıllı değildir
Merkezi olmayan finans sektöründeki oyuncular bilgisayar korsanları için bu kadar ilginç bir hedefse, bunun nedeni para çalmak isteyen siber suçlular için yeni bir fırsat yaratmalarıdır. Merkezi olmayan finansın merkezinde, gerçekten de eşler arası finansal işlemlerin tam otomatik bir şekilde gerçekleştirilmesine izin veren uygulamalar bulunmaktadır. Özellikle Ethereum blok zincirinde çalışan “akıllı sözleşmelerin” kullanılmasıyla mümkün kılınan bir otomasyon. Ancak bu “akıllı sözleşmeler” tıpkı diğerleri gibi programlardır ve bu nedenle yaygın yazılım hatalarından ve güvenlik açıklarından muaf değildir.
Bu nedenle, bu araçlara duyulan ilgi, fon çalmak için belirli “akıllı sözleşmelerin” kusurlarından yararlanmaya çalışan siber suçlular için yeni bir yol açmaktadır. “Koddaki güvenlik açıklarının istismarı birkaç nedenden dolayı meydana gelir. Bir yandan açık kaynak geliştirme, DeFi uygulamalarının temelini oluşturuyor. Bu genellikle olumlu bir eğilimdir: DeFi protokolleri fonları insan müdahalesi olmadan hareket ettirdiğinden, kullanıcıların protokole güvenmek için kodu denetlemesi gerekir. Ancak, güvenlik açıkları için komut dosyalarını analiz edebilen ve istismarları önceden planlayabilen siber suçlulara da fayda sağlar. »
Bu saldırı türü, özellikle çevrimiçi oyun Axie Infinity tarafından kullanılan ve saldırganların 625 milyon dolardan fazla kripto para çalmasına izin veren Ronin ağının hacklenmesinde belirtilen saldırıdır. Ve bu son yıllarda eşdeğer düzeyde kalmıştır.
Trendlerin Evrimi
Ancak Chainalysis raporu, saldırganların 2020’de popüler bir saldırı tekniği olan Flash Loan’a olan güveninin kademeli olarak düşüş eğiliminde olduğunu ve 2022’nin ilk birkaç yılındaki kripto para birimi hırsızlıklarının yalnızca küçük bir kısmını temsil ettiğini belirtiyor. Bir “akıllı sözleşme” içinde, “Flash krediler” tekniği, borsalarda belirli menkul kıymetlerin fiyatlarını manipüle etmek için merkezi olmayan finans uygulamalarının otomatik borç verme kapasitelerinden yararlanmayı içerir.
Chainalysis ekipleri tarafından bahsedilen son teknik, özel verilerin sızdırılması, daha doğrusu saldırganların kripto para birimini depolamak için kullanılan adreslerde özel anahtarlar elde etmesi olmaya devam ediyor. Bu özel anahtarlar, oltalamadan dolandırıcılığa ve bu özel anahtarları depolayan cihazlara saldırıya kadar çeşitli yollarla elde edilebilir ve yavaşlayacak gibi görünmüyor: “2020’den 2022’nin ilk çeyreğine kadar, çalınan kripto para birimlerinin %35’i” Bu tür bir saldırı sayesinde çalıntı, Chainalysis gösterir. Merkezi olmayan finans protokollerine saldırmak için bu tür saldırıların kullanılması bile artıyor gibi görünüyor.
Chainalysis için bu rakamlar, güvenli protokoller geliştirmenin önemini vurguluyor. Raporun yazarları, “Kod denetimleri, merkezi olmayan oracle uygulamaları ve platform güvenliğine yönelik daha titiz bir yaklaşım, bu amaç için ideal araçlar olabilir.”