varlık güvenliği: nasıl on-chain fonların çalınmasını önleyebiliriz
Merkeziyetsiz finans ve benzersiz token gibi blockchain uygulamalarının yaygınlaşmasıyla birlikte, kullanıcı varlıkları giderek geleneksel merkezi kanallardan merkeziyetsiz cüzdanlara, çapraz zincir köprülerine ve kredi ürünleri gibi platformlara kaymaktadır. Ancak, on-chain projeler ve kullanıcı varlıklarının çalınma olayları sık sık yaşanmakta ve bu nedenle blockchain "hackçi ATM'si" olarak adlandırılmaktadır.
Bu güvenlik kazalarının bazıları kod açıklarından kaynaklanıyor, ancak birçokları insan faktöründen kaynaklanıyor. Örneğin, yakın zamanda bir kripto piyasa yapıcısı operasyon hatası nedeniyle 160 milyon dolar kaybetti.
Büyük varlık kaybı basit insan hatasından kaynaklanıyor
Olaydan sonra, bu piyasa yapıcı merkezi finans ve OTC (tezgah üstü) işlemlerinin etkilenmediğini, ödeme gücünün hala kalan öz sermayenin iki katı olduğunu belirtti. Onunla piyasa yapım anlaşması olan kullanıcılar için varlık güvenliği garanti altında. Hacker saldırısına uğrayan 90 varlık arasında yalnızca iki tanesi 1 milyon dolardan fazla değer taşıyor, bu nedenle büyük çapta bir satış baskısı yaratması pek olası değil.
Güvenlik şirketi analizleri, hacker adresinin Tornado Cash ve bazı borsa para çekme işlemleriyle ilgili olduğunu ortaya koydu. Çalınan fonların yaklaşık %73'ü stablecoin, %8'i WBTC, %6'sı ETH. Saldırgan, 114 milyon doları bir projeye likidite sağlamak için yatırdı.
Sonraki araştırmalar, çalınma sebebinin bir açık içeren adres oluşturma aracının kullanılması olabileceğini gösteriyor. Bu piyasa yapıcısı, bu tür araçları işlem ücretlerini optimize etmek için kullandığını, şık numara adresleri oluşturmak için değil. Geçen hafta aracın bir açığa sahip olduğunu öğrendikten sonra eski anahtarları kullanmayı bırakmaya başladılar, ancak iç hatalardan dolayı yanlış bir fonksiyon çağrıldı ve etkilenen adreslerin imza izinlerini zamanında kaldırmayı başaramadılar.
Çalınan fonlar için, bu piyasa yapıcısı geri almak için %10 ödül ödemeye istekli olduğunu belirtti. Bu olay içsel bir hata nedeniyle meydana gelmiş olsa da, şirket çalışanları işten çıkarmayacak, stratejilerini değiştirmeyecek veya ilgili faaliyetleri durdurmayacak.
Ancak, on-chain veriler bu piyasa yapıcının birden fazla karşı tarafa olan merkeziyetsiz finans borcunun 200 milyon dolardan fazla olduğunu gösteriyor, bunlar arasında en büyük kalem, Ekim ayında vadesi dolacak olan 92 milyon dolarlık stabilcoin kredisi. Eğer çalınan fonlar zamanında geri alınamazsa, şirket bir borç krizi ile karşılaşabilir.
Yeniden insan hatasından dolayı zarar görmek
Aslında, bu piyasa yapıcının insan faktörleri nedeniyle zarar gördüğü ilk kez değil. Bu yılın Haziran ayında, belirli bir Layer 2 projesine likidite sağlamak üzere davet edildiğinde, bir operasyon hatası nedeniyle 20 milyon token kaybetti.
O zaman, bu Layer 2 proje fonu, piyasa yapıcılara likidite sağlamak için 20 milyon token tahsis etti. Piyasa yapıcılar, token almak için bir Ethereum ana ağı çoklu imza adresi sağladı. Ancak bu adres henüz Layer 2 ağına dağıtılmadığı için piyasa yapıcılar bu tokenlere erişemedi.
Piyasa yapıcılarının operasyonu geri yüklemeye çalışırken, saldırgan çoklu imza sözleşmesini Layer 2 ağına önceki adımlarıyla konuşlandırdı ve bu 20 milyon tokeni kontrol altına aldı. Neyse ki ertesi gün hacker 17 milyon tokeni geri döndürdü, geri kalan kayıplar piyasa yapıcı tarafından üstlenildi.
Bireysel kullanıcılar varlık güvenliği hırsızlık riskini nasıl azaltabilir
Kuruluşların sık sık insan hatalarından dolayı büyük kayıplar yaşadığı göz önüne alındığında, bireysel kullanıcıların varlık güvenliğini korumak için daha dikkatli olmaları gerekmektedir. Aşağıda birkaç öneri bulunmaktadır:
Sadece yerel kripto cüzdanı kullanarak adres oluşturun, üçüncü taraf araçlar kullanmaktan kaçının. Üçüncü taraf araçların güvenlik riskleri olabilir, izlenebilir veya saldırıya uğrayabilir.
Ana varlık cüzdanları için çoklu imza kullanın. Yüksek frekanslı işlemler için uygun olmasa da, sıradan kullanıcılar için insan hatası riskini en aza indirmeye yardımcı olabilir.
Özel anahtarları kopyalayıp yapıştırarak kaydetmeyin. Birçok cihaz ve uygulama pano içeriğine erişebilir, bu da sızdırma riskini artırır. Geçici olarak güvende olsa bile, varlıklar arttıktan sonra saldırıya uğrayabilir.
On-chain işlemler sırasında yetkilendirilmiş sözleşmeleri ve varlıkları dikkatlice kontrol edin. Yetkilendirmeyi kötü niyetli sözleşmelere karşı önlemek için web sitesi alan adının ve akıllı sözleşme adresinin doğruluğunu doğrulayın.
Yetki limitlerini makul bir şekilde belirleyin ve gereksiz yetkileri zamanında iptal edin. Sınırsız yetki vermekten kaçının, kullanımdan sonra erişim izinlerini zamanında iptal edin, potansiyel riskleri azaltın.
Güvenlik küçük bir mesele değildir, özellikle blok zinciri varlıklarının geri alınmasının zor olduğu ve hukuki korumanın sınırlı olduğu durumlarda. Kullanıcılar, on-chain işlemler yaparken özellikle dikkatli olmalı, çoklu koruma önlemleri almalı ve varlık güvenliğini en üst düzeye çıkarmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Çalınan on-chain fonlardan kaçınmak için şifreleme varlıklarınızı korumanın beş adımı
varlık güvenliği: nasıl on-chain fonların çalınmasını önleyebiliriz
Merkeziyetsiz finans ve benzersiz token gibi blockchain uygulamalarının yaygınlaşmasıyla birlikte, kullanıcı varlıkları giderek geleneksel merkezi kanallardan merkeziyetsiz cüzdanlara, çapraz zincir köprülerine ve kredi ürünleri gibi platformlara kaymaktadır. Ancak, on-chain projeler ve kullanıcı varlıklarının çalınma olayları sık sık yaşanmakta ve bu nedenle blockchain "hackçi ATM'si" olarak adlandırılmaktadır.
Bu güvenlik kazalarının bazıları kod açıklarından kaynaklanıyor, ancak birçokları insan faktöründen kaynaklanıyor. Örneğin, yakın zamanda bir kripto piyasa yapıcısı operasyon hatası nedeniyle 160 milyon dolar kaybetti.
Büyük varlık kaybı basit insan hatasından kaynaklanıyor
Olaydan sonra, bu piyasa yapıcı merkezi finans ve OTC (tezgah üstü) işlemlerinin etkilenmediğini, ödeme gücünün hala kalan öz sermayenin iki katı olduğunu belirtti. Onunla piyasa yapım anlaşması olan kullanıcılar için varlık güvenliği garanti altında. Hacker saldırısına uğrayan 90 varlık arasında yalnızca iki tanesi 1 milyon dolardan fazla değer taşıyor, bu nedenle büyük çapta bir satış baskısı yaratması pek olası değil.
Güvenlik şirketi analizleri, hacker adresinin Tornado Cash ve bazı borsa para çekme işlemleriyle ilgili olduğunu ortaya koydu. Çalınan fonların yaklaşık %73'ü stablecoin, %8'i WBTC, %6'sı ETH. Saldırgan, 114 milyon doları bir projeye likidite sağlamak için yatırdı.
Sonraki araştırmalar, çalınma sebebinin bir açık içeren adres oluşturma aracının kullanılması olabileceğini gösteriyor. Bu piyasa yapıcısı, bu tür araçları işlem ücretlerini optimize etmek için kullandığını, şık numara adresleri oluşturmak için değil. Geçen hafta aracın bir açığa sahip olduğunu öğrendikten sonra eski anahtarları kullanmayı bırakmaya başladılar, ancak iç hatalardan dolayı yanlış bir fonksiyon çağrıldı ve etkilenen adreslerin imza izinlerini zamanında kaldırmayı başaramadılar.
Çalınan fonlar için, bu piyasa yapıcısı geri almak için %10 ödül ödemeye istekli olduğunu belirtti. Bu olay içsel bir hata nedeniyle meydana gelmiş olsa da, şirket çalışanları işten çıkarmayacak, stratejilerini değiştirmeyecek veya ilgili faaliyetleri durdurmayacak.
Ancak, on-chain veriler bu piyasa yapıcının birden fazla karşı tarafa olan merkeziyetsiz finans borcunun 200 milyon dolardan fazla olduğunu gösteriyor, bunlar arasında en büyük kalem, Ekim ayında vadesi dolacak olan 92 milyon dolarlık stabilcoin kredisi. Eğer çalınan fonlar zamanında geri alınamazsa, şirket bir borç krizi ile karşılaşabilir.
Yeniden insan hatasından dolayı zarar görmek
Aslında, bu piyasa yapıcının insan faktörleri nedeniyle zarar gördüğü ilk kez değil. Bu yılın Haziran ayında, belirli bir Layer 2 projesine likidite sağlamak üzere davet edildiğinde, bir operasyon hatası nedeniyle 20 milyon token kaybetti.
O zaman, bu Layer 2 proje fonu, piyasa yapıcılara likidite sağlamak için 20 milyon token tahsis etti. Piyasa yapıcılar, token almak için bir Ethereum ana ağı çoklu imza adresi sağladı. Ancak bu adres henüz Layer 2 ağına dağıtılmadığı için piyasa yapıcılar bu tokenlere erişemedi.
Piyasa yapıcılarının operasyonu geri yüklemeye çalışırken, saldırgan çoklu imza sözleşmesini Layer 2 ağına önceki adımlarıyla konuşlandırdı ve bu 20 milyon tokeni kontrol altına aldı. Neyse ki ertesi gün hacker 17 milyon tokeni geri döndürdü, geri kalan kayıplar piyasa yapıcı tarafından üstlenildi.
Bireysel kullanıcılar varlık güvenliği hırsızlık riskini nasıl azaltabilir
Kuruluşların sık sık insan hatalarından dolayı büyük kayıplar yaşadığı göz önüne alındığında, bireysel kullanıcıların varlık güvenliğini korumak için daha dikkatli olmaları gerekmektedir. Aşağıda birkaç öneri bulunmaktadır:
Sadece yerel kripto cüzdanı kullanarak adres oluşturun, üçüncü taraf araçlar kullanmaktan kaçının. Üçüncü taraf araçların güvenlik riskleri olabilir, izlenebilir veya saldırıya uğrayabilir.
Ana varlık cüzdanları için çoklu imza kullanın. Yüksek frekanslı işlemler için uygun olmasa da, sıradan kullanıcılar için insan hatası riskini en aza indirmeye yardımcı olabilir.
Özel anahtarları kopyalayıp yapıştırarak kaydetmeyin. Birçok cihaz ve uygulama pano içeriğine erişebilir, bu da sızdırma riskini artırır. Geçici olarak güvende olsa bile, varlıklar arttıktan sonra saldırıya uğrayabilir.
On-chain işlemler sırasında yetkilendirilmiş sözleşmeleri ve varlıkları dikkatlice kontrol edin. Yetkilendirmeyi kötü niyetli sözleşmelere karşı önlemek için web sitesi alan adının ve akıllı sözleşme adresinin doğruluğunu doğrulayın.
Yetki limitlerini makul bir şekilde belirleyin ve gereksiz yetkileri zamanında iptal edin. Sınırsız yetki vermekten kaçının, kullanımdan sonra erişim izinlerini zamanında iptal edin, potansiyel riskleri azaltın.
Güvenlik küçük bir mesele değildir, özellikle blok zinciri varlıklarının geri alınmasının zor olduğu ve hukuki korumanın sınırlı olduğu durumlarda. Kullanıcılar, on-chain işlemler yaparken özellikle dikkatli olmalı, çoklu koruma önlemleri almalı ve varlık güvenliğini en üst düzeye çıkarmalıdır.