Cross chain köprüleri saldırı olayı incelemesi: Yaklaşık 2 milyar dolar fon tehdit altında, 1.55 milyar dolardan fazlası geri alındı veya tazmin edildi.

Blok zinciri ekosisteminde birçok kamu zinciri bulunmaktadır, ancak ana akım varlıkların birkaç zincirde yoğunlaşması nedeniyle, farklı kamu zinciri varlıklarını bağlamak için cross-chain köprüleri önemli bir araç haline gelmiştir. Ancak, son dönemlerde sıkça yaşanan DeFi güvenlik kazaları, cross-chain köprülerinin güvenliği konusunda endişelere yol açmıştır. Bu makale, son birkaç yılda meydana gelen daha önemli 10 cross-chain köprü saldırı olayını gözden geçirecek, deneyim derslerini özetleyecek ve geliştirme ekipleri ile kullanıcılar için referans sağlayacaktır.

ChainSwap: İki saldırıda yaklaşık 8.8 milyon dolar kaybedildi

2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez siber saldırıya uğradı. İlk saldırıda yaklaşık 800.000 dolar kayıp oldu, ikinci saldırıda ise kayıplar 8.000.000 dolara kadar yükseldi ve 20'den fazla ChainSwap kullanarak cross-chain yapan projeyi etkiledi.

Kazanın nedeni, protokolün imza geçerliliğini sıkı bir şekilde doğrulamamasıydı; bu da saldırganın kendisinin oluşturduğu imzayı kullanarak işlemi tamamlamasına olanak tanıdı. Zarar gören varlıklar esas olarak yönetim tokenleri olduğundan, ChainSwap ve etkilenen birçok proje, sahiplerine ve likidite sağlayıcılarına tazminat vermek için anlık görüntü alma ve token yeniden dağıtma yöntemini seçti.

Poly Network: 6.1 milyar dolarlık varlık çalındıktan sonra tamamı geri alındı

10 Ağustos 2021'de, cross-chain protokolü Poly Network ciddi bir saldırıya uğradı ve Ethereum, Binance Akıllı Zinciri ve Polygon üç ağı üzerinde toplamda yaklaşık 6.1 milyar dolar varlık kaybı yaşandı.

Saldırı, Poly Network sözleşme yetki yönetiminin açığından yararlandı. Saldırgan, hedef zincirin doğrulayıcı adresini kendi kontrolündeki bir adresle değiştirmeyi başardı ve böylece varlık transferi işlemini imzalamak ve gerçekleştirmek için yetki elde etti.

Saldırganlar dikkatlice plan yapmış ve gizlilik tokenlerini kullanarak fonların kaynağını gizlemiş olsalar da, nihayetinde çalınan tüm fonları iade etmeyi seçtiler. Poly Network daha sonra ona "beyaz şapkalı hacker" adını verdi ve onu baş güvenlik danışmanı olarak işe almayı önerdi.

Multichain: 6 milyon dolarlık varlık zarar gördü, neredeyse yarısı geri alındı

2022 yılı Ocak ayında, Multichain çeşitli tokenleri etkileyen ciddi bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, yaklaşık 8000 kullanıcı adresi etkilendi ve yaklaşık 6.04 milyon dolar kayba yol açtı.

Güvenlik ekibinin analizine göre, açık, Multichain'in kullanıcı girişi tokenlerinin geçerliliğini doğrularken bir ihmalde bulunmasından kaynaklanıyor; bu, tüm tokenlerin belirli bir fonksiyonu uygulamadığını dikkate almamış. Bu durum, bazı yetkilendirilmiş kullanıcıların varlıklarının saldırgan tarafından oluşturulan kötü niyetli bir adrese aktarılmasına neden oldu.

Multichain hızlı bir şekilde harekete geçti ve kısa bir süre içinde çalınan fonların yaklaşık %50'sini geri aldı. Ekip daha sonra tazminat teklif etti, ancak bu yalnızca belirlenen süre öncesinde sözleşme yetkisini iptal eden kullanıcılar için geçerliydi.

QBridge: 80 milyon dolarlık kayıp, yalnızca %2 tazminat

2022 yılının Ocak ayının sonunda, kredi platformu Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve kayıplar 80 milyon dolara kadar ulaştı.

Saldırganlar, QBridge'in beyaz listeye alınmış token transferlerini işlerken yaşadığı bir kritik açığı kullandı. Sistemin sıfır adresi için ikinci bir onay almaması nedeniyle, saldırganlar BSC ağında herhangi bir gerçek varlık yatırmadan çok sayıda xETH tokeni yaratabildi. Bu sahte tokenler daha sonra teminat olarak kullanılarak Qubit'ten diğer tokenler borç alındı ve bu durum platformun fonlarının tükenmesine yol açtı.

Şu anda Qubit kullanım oranı neredeyse sıfıra yaklaştı, resmi veriler hırsızlıkla alınan fonların %98'inin hâlâ tazmin edilmediğini gösteriyor.

Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançların tazmini taahhüt edildi

2022 Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba neden oldu.

Resmi açıklama, sorunun Meter genişletme kodundaki "yanlış güven varsayımı"ndan kaynaklandığını, bu durumun saldırganların temel depo işlevini çağırarak BNB ve ETH transferlerini taklit etmelerine olanak tanıdığını belirtmektedir.

Meter başlangıçta kullanıcı kayıplarını telafi etmek için MTRG tokeni kullanmayı planlamıştı, ancak topluluk oylaması sonucunda yeni PASS tokeninin tazminat olarak çıkarılmasına karar verildi ve bu tokenlerin geri alınacağına dair gelecekteki gelirlerle ilgili taahhütte bulunuldu. Ancak şu ana kadar herhangi bir geri alım işlemi gerçekleştirilmedi.

Ronin: 6.2 milyon dolar çalındı, tam tazminat ödendi

2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı büyük bir güvenlik kazası geçirdi ve yaklaşık 6.2 milyon dolar kaybetti. Dikkate değer olan, saldırının 23 Mart'ta gerçekleşmesi, ancak neredeyse bir hafta sonra fark edilmesidir.

Araştırmalar, bunun karmaşık bir sosyal mühendislik saldırısı olduğunu gösteriyor. Saldırganlar, Sky Mavis'in (Axie Infinity ve Ronin'in geliştiricisi) çalışanlarını kötü amaçlı yazılım içeren "kabul mektubu" indirmeye ikna etmek için sahte bir işe alım süreci kullanmışlardır. Bu şekilde, hackerlar Ronin ağını başarıyla ihlal edip birçok doğrulama düğümünü kontrol altına almışlardır.

Kayıp fonlar doğrudan geri alınamamış olsa da, Sky Mavis kullanıcı kayıplarını tazmin etmek için 150 milyon dolarlık bir finansman turunu hızla tamamladı. Haziran ayı sonlarında, Ronin köprüsü yeniden açıldı ve kullanıcılar tazminat alabiliyor. Ancak, bu süre zarfında ETH fiyatının büyük ölçüde düşmesi nedeniyle, ödenen tazminatın gerçek değeri yaklaşık üçte iki oranında azalmıştır.

Wormhole: 326 milyon dolar kayıp, tamamı tazmin edildi

2022 yılının Şubat ayının başlarında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 120.000 ETH, değeri 326 milyon dolar kaybedildi.

Saldırı, Wormhole'un Solana tarafındaki ana sözleşme imza doğrulama kodundaki bir açığı kullandı. Saldırgan, "koruyucu" mesajını başarılı bir şekilde sahteledi ve bu sayede çok sayıda whETH basarak Ethereum'dan eşdeğer ETH çekti.

Neyse ki Wormhole'un ana şirketi Jump Crypto hızla 120.000 ETH yatırdı ve tüm kayıpları telafi etti, bu sayede Wormhole hızlı bir şekilde operasyonlarına geri dönebildi.

EvoDeFi: Tahmini kayıp on milyonlarca dolar, henüz işlenmedi.

2022 yılının Haziran ayında, Oasis ekosisteminin en büyük DEX'i ValleySwap üzerinde USDT ciddi şekilde değer kaybetti ve bu da büyük miktarda fon kaybına yol açtı. Kesin kayıp miktarı açıklanmasa da, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor.

Sorunun kaynağı, ValleySwap'ın kullandığı cross-chain köprüleri EVODeFi'nin kaynak zincirindeki likidite sıkıntısında yatıyor. EVODeFi, sorunu piyasa paniğine atfetmesine rağmen, bu açıklama ikna edici değil. Oasis resmi olarak ValleySwap ve EvoDeFi ile bir bağlantısı olmadığını vurguladı ve EvoDeFi'nin yüksek risk taşıdığını belirtti.

Maalesef, kullanıcı kayıpları henüz herhangi bir somut çözüm bulamadı. İlgili tarafların sorumluluktan kaçınmayı seçtiği görülüyor, ValleySwap ve EVODeFi'nin resmi sosyal medya hesapları olaydan sonra güncellemeleri durdurdu.

Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı hâlâ tartışılıyor.

24 Haziran 2022'de, Harmony'nin resmi cross-chain köprüsü Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kayba neden oldu.

Harmony kurucusu Stephen Tse, saldırının muhtemelen özel anahtar sızıntısından kaynaklandığını kabul etti. Saldırı, Ethereum ve BNB zincirindeki çeşitli varlıkları içeriyordu. Olaydan sonra Horizon, çoklu imza gereksinimlerini artırarak, önceki 5'te 2'den 5'te 4'e yükseltti.

Harmony, kullanıcı kayıplarını kısmen telafi etmek için 3 yıl içinde ONE token'larının artırılmasını önerdi, ancak topluluğun oybirliği desteğini alamadı. Şu anda, ekip tazminat planını yeniden gözden geçiriyor.

Nomad: 1.9 milyar dolar likidite boşaltıldı, bazı fonların geri alınması umuluyor

2022 yılının Ağustos ayının başında, Nomad cross-chain köprüleri önemli bir güvenlik kazasıyla karşılaştı ve 1.9 milyon dolar likidite hızla kayboldu. Bu olay ayrıca Layer2 etkileşim protokolü Connext'i dolaylı olarak etkiledi ve yaklaşık 334 bin dolar kayba neden oldu.

Kazanın nedeni, Nomad'ın bir sözleşme güncellemesi sırasında güvenilir kökü 0x00 olarak yanlış bir şekilde başlatmasıdır. Bu, herhangi birinin işlem parametrelerini basitçe değiştirerek cross-chain köprülerindeki fonları çekmesine izin verdi.

Analizlere göre, bu saldırı 1251 ETH adresini kapsıyor ve bunlardan 12 ENS adresi toplam kaybın %38'ini oluşturuyor. Proje ekibi henüz net bir tazminat planı sunmamış olsa da, bazı beyaz şapkalı hackerların fonları geri verme niyetinde olduğu belirtiliyor, bu da kayıpların bir kısmını geri alma konusunda umut veriyor.

Özet ve Çıkarımlar

Cross chain köprüleri güvenlik kazalarının sıkça yaşanması, bu alandaki yüksek riskleri gözler önüne seriyor. En yüksek likidite sıralamasına sahip olan tanınmış cross-chain köprüleri olan Multichain, Wormhole ve Poly Network bile güvenlik sorunlarıyla karşılaşmıştır; bu da bize herhangi bir cross-chain köprüsünün güvenlik tehdidi ile karşılaşabileceğini hatırlatıyor.

Ancak, güçlü bir arka plana ve sağlam bir finansmana sahip projelerin güvenlik kazaları yaşadıktan sonra, genellikle varlıkları daha etkili bir şekilde geri alabileceğini veya kullanıcılara tazminat ödeyebileceğini gözlemliyoruz. Poly Network, Ronin Network ve Wormhole gibi projeler, büyük miktarda fon çalındıktan sonra, farklı yollarla tam veya büyük ölçüde tazminat sağlama imkanı bulabilmiştir.

Ayrıca, ekibin gerçek zamanlı izleme ve hızlı yanıt verme yeteneği de son derece önemlidir. Örneğin, Hop Protocol ve StarGate, şüpheli faaliyet raporunu aldıktan sonra hızla harekete geçerek potansiyel bir saldırıyı başarıyla engelledi.

Bu deneyimler bize, bir Cross chain köprüleri seçerken yalnızca teknik gücünü değil, aynı zamanda proje ekibinin geçmişini, finansal gücünü ve risk yönetim yeteneğini de dikkate almamız gerektiğini hatırlatıyor. Aynı zamanda, kullanıcıların da dikkatli olmaları, yetkilendirme durumunu düzenli olarak kontrol etmeleri ve cross-chain hizmetlerini kullanırken temkinli hareket etmeleri önemlidir.