Blok Zinciri güvenlik olayları sık sık yaşanıyor, kişisel varlıklar nasıl korunur?

Son yıllarda, merkeziyetsiz finans ( DeFi ) ve eşsiz token ( NFT ) gibi blok zinciri ürünlerinin yükselmesiyle, kullanıcı varlıkları giderek merkezi platformlardan merkeziyetsiz cüzdanlara, çapraz zincir köprülerine ve borç verme protokollerine kaydırılmaktadır. Ancak, blok zinciri projeleri ve kullanıcı varlıklarının çalınma olayları sıkça meydana gelmektedir, bu da blok zincirinin "hacker ATM'si" olarak adlandırılmasına yol açmaktadır.

Bu güvenlik olaylarının bazıları kod hatalarından, bazıları ise insan hatalarından kaynaklanmaktadır. Örneğin, 20 Eylül 2022'de bir kripto piyasa yapıcısı 160 milyon dolarlık bir fon çalınma olayıyla karşılaştı.

İnsan hatası büyük kayıplara yol açtı

Olaydan sonra, bu piyasa yapıcı kuruluşun kurucusu sosyal medyada, şirketin merkezi finans ve tezgah üstü işlem faaliyetlerinin etkilenmediğini, ödenebilirliğinin ise kalan sermayenin iki katı olduğunu belirtti. Şirketle piyasa yapım anlaşması olan kullanıcıların fonlarının güvenli olduğuna vurgu yaptı. Çalınan 90 varlık arasında yalnızca iki tanesinin nominal değeri 1 milyon doları aştığı için büyük çapta bir satış dalgası başlatması pek olası görünmüyor.

Güvenlik şirketi analizinde, hacker adresinin belirli bir anonim işlem platformu ve ana akım borsalarla ilişkilendirildiği tespit edildi. Çalınan fonların yaklaşık %73'ü stablecoin, %8'i WBTC, %6'sı ise ETH'dir. Saldırgan, 1.14 milyon doları belirli bir merkeziyetsiz borsaya likidite sağlamak için yatırdı.

Güvenlik uzmanları, çalıntı nedeninin bu piyasa yapıcısının açıkları olan üçüncü taraf araçları kullanarak cüzdan adresi oluşturduğu yönünde tahminde bulundu. Şirketin kurucusu daha sonra, gerçekten de Haziran ayında bu tür araçları cüzdan oluşturmak için kullandıklarını kabul etti; amaçları işlem ücretlerini optimize etmekti. Şirket, aracın açıklarının farkına vardıktan sonra önlem almasına rağmen, iç operasyon hatası nedeniyle etkilenen adreslerin imza yetkilerini zamanında iptal edemedi.

Fonların geri alınması konusunda, şirketin hacker'a %10'luk bir ödül, yaklaşık 16 milyon dolar teklif etmeye istekli olduğu bildirildi. Olayın içsel bir hata nedeniyle meydana gelmiş olmasına rağmen, şirket çalışanları işten çıkarmayacağını, stratejisini değiştirmeyeceğini veya DeFi işine son vermeyeceğini belirtti.

Ancak, blok zinciri verileri, bu şirketin birçok işlem ortağına 200 milyon dolardan fazla DeFi borcu olduğunu gösteriyor. Bunlar arasında en büyük olanı, Ekim ayında vadesi dolacak olan 92 milyon dolarlık USDT kredisi. Eğer çalınan fonlar zamanında geri alınamazsa, şirket bir borç krizi ile karşı karşıya kalabilir.

Yeniden insan faktörlerinden dolayı zarar gördü

Dikkat edilmesi gereken bir nokta, bu piyasa yapıcısının insan faktörleri nedeniyle kayba uğradığı ilk durum olmadığıdır. 2022 yılının Haziran ayında, bir Layer 2 projesine likidite hizmeti sağlarken adres yönetim hatası nedeniyle 20 milyon token çalınmıştır.

O dönemde, bu Layer 2 projesinin vakfı, piyasa yapıcıları likidite hizmeti sunmaya davet etti ve geçici bir bağış olarak 20 milyon token dağıttı. Ancak, piyasa yapıcıların sağladığı alım adresi Ethereum ana ağı üzerindeki çoklu imza adresiydi, Layer 2 ağı üzerindeki adres değil. Bu durum, piyasa yapıcıların bu tokenlara erişememesine neden oldu ve hackerlar kendi çoklu imza sözleşmelerini dağıtarak bu tokenları kontrol altına aldı.

Neyse ki, hacker daha sonra çoğu tokeni geri verdi, piyasa yapıcı kalan kısmı geri ödemeyi taahhüt etti.

Kişisel Varlık Koruma Önerileri

Kuruluşların sık sık insan hataları nedeniyle büyük kayıplar yaşadığı göz önüne alındığında, bireysel kullanıcıların varlık güvenliğine daha fazla dikkat etmesi gerekmektedir. İşte birkaç öneri:

1. Üçüncü taraf araçları kullanarak cüzdan oluşturmayı önleyin: Üçüncü taraf araçlarının güvenlik açıkları olabilir, yerel kripto cüzdanı kullanmaya devam etmelisiniz.

2. Çoklu imzayı kullanmayı düşünün: Büyük miktarda varlık bulunduran cüzdanlar için, çoklu imza riski etkili bir şekilde azaltabilir.

3. Özel anahtarları dikkatlice yönetin: Özel anahtarları kopyalayıp yapıştırarak saklamayın, çünkü cihazınızdaki üçüncü taraf uygulamalar panoya erişim iznine sahip olabilir.

4. Yetkilendirme işlemlerini dikkatlice kontrol edin: DeFi ürünleri kullanırken, lütfen web sitesi alan adının ve akıllı sözleşme adresinin doğruluğunu kontrol edin.

5. Yetki limitlerini mantıklı bir şekilde yönetme: Mümkünse sınırsız yetkilendirmeden kaçının, kullanımdan sonra gereksiz yetkileri hemen iptal edin. Yetkileri yönetmek için blok zinciri tarayıcısının token onay kontrolörü işlevini kullanabilirsiniz.

Blok zinciri dünyasında güvenlik son derece önemlidir. Zincir üzerindeki varlıkların çalındıktan sonra geri alınması zor olduğu ve genellikle yasal koruma altında olmadığı için, kullanıcıların zincir üzerindeki işlemleri sırasında son derece dikkatli olmaları ve varlık güvenliklerini maksimum düzeyde korumaları gerekmektedir.