2024 Web3 Alanında On Güvenlik Olayının Gözden Geçirilmesi
2024 yılında, blok zinciri sektörü teknik yenilikler ve ekosistem genişlemesi ile birlikte giderek artan güvenlik zorlukları ile de karşı karşıya. Güvenlik izleme platformu verilerine göre, yıl sonuna kadar Web3 alanında hacker saldırıları, kimlik avı dolandırıcılıkları ve proje sahiplerinin kaybolması nedeniyle toplam kayıplar 24.91 milyar dolara ulaşmıştır.
Bu olaylar sadece özel anahtar yönetimi, akıllı sözleşme açıkları gibi teknik eksiklikleri açığa çıkarmakla kalmadı, aynı zamanda sosyal mühendislik ve iç yönetimlerin potansiyel risklerini de vurguladı. Bu makalede, 2024 yılı Web3'ün en önemli on güvenlik olayını derleyeceğiz, böylece endüstri dersler çıkarabilir ve gelecekteki güvenlik tehditleriyle daha iyi başa çıkabilir.
1. DMM Bitcoin olayı
Kayıp Tutarı: 304 milyon ABD Doları
Saldırı yöntemi: Özel anahtar sızıntısı
31 Mayıs 2024'te, Japonya'nın tanınmış kripto para borsası DMM Bitcoin büyük bir saldırıya uğradı. Saldırganlar, sızdırılan özel anahtarları kullanarak 300 milyon dolardan fazla değerinde Bitcoin'i doğrudan transfer etti ve çalınan fonları 10'dan fazla farklı adrese hızla dağıttı. Bu olay, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik önlemleri konusundaki ciddi açıklarını ortaya çıkardı. Borsa, zincir üzerindeki izleme ve fonları dondurma gibi yöntemlerle hacker'ı takip etse de, çalınan Bitcoin'lerin dağıtılarak karıştırma araçlarıyla temizlenmesi nedeniyle izleme çalışmaları büyük zorluklarla karşı karşıya.
Yıl sonunda, Japon polisi bu hırsızlık olayının Kuzey Koreli bir hacker grubu tarafından planlandığını doğruladı.
2. PlayDapp büyük bir darbe aldı
Zarar Miktarı: 290 milyon dolar
Saldırı Yöntemi: Özel Anahtar Sızıntısı
9 Şubat 2024'te, PlayDapp ciddi bir darbe aldı. Hackerlar özel anahtarları çalarak 2 milyar PLA tokeni basmayı başardı, başlangıçta değeri 36.5 milyon dolardı. Proje ekibi ile hackerlar arasındaki müzakerelerin başarısız olması sonucunda, hackerlar ardından 15.9 milyar PLA tokeni daha basarak 253.9 milyon dolarlık bir değere ulaştılar. Çalınan tokenlerin bir kısmı borsa piyasasına düştükten sonra, PlayDapp PLA sözleşmesini askıya almak ve yeni PDA token sözleşmesine geçmek zorunda kaldı. Bu olay, blockchain projelerinin özel anahtar koruması ve acil durum yanıtı konusundaki eksikliklerini gözler önüne serdi.
3. WazirX Çoklu İmza Cüzdanı Saldırıya Uğradı
Zarar Miktarı: 235 milyon ABD Doları
Saldırı Yöntemi: Ağ Saldırıları ve Phishing
18 Temmuz 2024'te, Hindistan'ın en büyük kripto para borsası WazirX'in Safe Wallet çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleri kullanarak çoklu imza imzacısını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki tüm varlıkları transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yönetimi ve işlem şeffaflığı konusundaki potansiyel risklerini ortaya koydu ve sektörde projelerin iç kontrol mekanizmaları üzerine derin düşünmelere yol açtı.
4. Gala Games sözleşme açığı istismar edildi
Zarar Miktarı: 216 milyon dolar
Saldırı Yöntemi: Erişim Kontrol Açığı
20 Mayıs 2024'te, Gala Games'in belirli bir ayrıcalıklı adresi bir hacker tarafından kırıldı. Saldırgan, token sözleşmesinin mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni mint etti. Ardından, hacker artırılan tokenleri parça parça ETH'ye dönüştürdü ve bu durum doğrudan 216 milyon dolarlık bir kayba yol açtı. Gala Games ekibi olaydan sonra acil olarak kara liste işlevini devreye sokarak bazı hacker hesaplarını engelledi ve yasal yollarla kayıpların bir kısmını geri almaya çalıştı.
5. Ripple kurucu ortakları siber saldırıya uğradı
Kayıp Tutarı: 112 milyon ABD Doları
Saldırı Yöntemi: Özel Anahtar Sızıntısı
2024 yılının 31 Ocak'ında, Ripple'ın kurucu ortağı Chris Larsen'in dört kişisel cüzdanı siber saldırıya uğradı ve bunun sonucunda 112 milyon dolar değerinde XRP çalındı. Bu cüzdanların, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi olduğu düşünülüyor. Olaydan sonra, bir ticaret platformu 4.2 milyon dolar değerinde XRP'yi başarıyla dondurdu ve çalınan varlıkların takibine yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla aklandı.
6. Munchables İç İstila ile Karşılaşıyor
Zarar Miktarı: 62.5 milyon dolar
Saldırı Yöntemi: Sosyal Mühendislik Saldırısı
26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırgan, blockchain geliştiricisi kılığına girerek, uzun süreli sızma ile çekirdek kodu ve hassas anahtarları ele geçirdi. Büyük kayıplara neden olmasına rağmen, topluluk ve ekip baskısı altında, hacker sonunda çalınan tüm fonları geri iade etti. Bu olay, özellikle üçüncü taraf geliştiricilere bağımlı olan blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.
7. BtcTurk Özel Anahtar Sızıntı Olayı
Zarar Tutarı: 55 milyon dolar
Saldırı Yöntemi: Özel Anahtar Sızıntısı
22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası BtcTurk, özel anahtar sızıntısı saldırısına uğradı ve 55 milyon doların üzerinde kripto varlık kaybetti. Bir ticaret platformunun yardımıyla, 5.3 milyon dolar çalınan fon başarıyla donduruldu, ancak diğer varlıklar hâlâ geri alınamadı. Bu olay, merkeziyetsiz borsaların özel anahtar yönetimi konusundaki endişeleri derinleştirdi.
8. Radiant Capital Çoklu İmza Cüzdanı Saldırıya Uğradı
Kayıp Tutarı: 53 milyon ABD Doları
Saldırı Yöntemi: Özel Anahtar Sızıntısı
17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı bir siber saldırıya uğradı. Düşük eşik seviyesine sahip 3/11 imza doğrulama modeli kullanıldığı için, hacker üç imza sahibinin özel anahtarlarını ele geçirerek, cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese transfer eden çevrimdışı imzalar başlattı ve sonunda 53 milyon dolar çalındı. Bu saldırı, çoklu imza cüzdanlarının tasarımı ve yönetim mekanizmaları hakkında sektörde bir sorgulama başlattı.
Dikkate değer bir nokta, Radiant Capital'in bu saldırıdan önce sözleşme açığı nedeniyle 4.5 milyon dolar kaybetmesi ve 1900'den fazla ETH'nin çalınmış olmasıdır. Bu, Web3 projelerinin güvenliğe verdiği önemin hala artırılması gerektiğini bir kez daha vurgulamaktadır.
9. Hedgey Finance Sözleşme Açığı Kullanıldı
Zarar Miktarı: 44.7 milyon dolar
Saldırı Yöntemi: Sözleşme Açığı
19 Nisan 2024'te, Hedgey Finance, birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum zincirlerindeki token'ları başarıyla çekti ve toplam kayıp 44.7 milyon dolara ulaştı. Bu olay, kod denetiminin önemini, özellikle token onay mantığının titiz bir şekilde doğrulanması gerektiğini vurguladı.
10. BingX Borsası Sıcak Cüzdanı Hedef Alındı
Zarar Miktarı: 44.7 milyon dolar
Saldırı Yöntemi: Özel Anahtar Sızıntısı
19 Eylül 2024'te, BingX borsasının sıcak cüzdanı bir hacker tarafından ihlal edildi ve Ethereum, BNB Chain, Tron gibi birçok halka açık blockchain'i etkiledi. Borsa, varlık transferi ve para çekme dondurma mekanizmasını hızla devreye sokmasına rağmen, hacker 44.7 milyon dolar değerinde varlık çekmeyi başardı. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek risklerini bir kez daha vurguladı ve sektörü daha güvenli varlık depolama çözümleri arayışına itti.
2024'te sıkça meydana gelen güvenlik olayları, bize blockchain endüstrisinin gelişiminin güvenlik garantisinden ayrılamayacağını bir kez daha hatırlatıyor. Özel anahtar sızıntısından akıllı sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerindeki yükselişe kadar, her bir olay derin dersler getiriyor. Artan karmaşık saldırı tehditlerine karşı koymak için, sektördeki tüm tarafların teknoloji geliştirme, yönetim standartları ve risk kontrolüne sürekli yatırım yapmaları gerekiyor. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla daha güvenli bir blockchain ekosistemi inşa etmeyi umuyoruz, böylece kullanıcılar ve yatırımcılara daha güvenilir bir koruma sunabileceğiz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2024 Web3 Güvenlik İncelemesi: On Olayda Yaklaşık 2.5 Milyar Dolar Kayıp
2024 Web3 Alanında On Güvenlik Olayının Gözden Geçirilmesi
2024 yılında, blok zinciri sektörü teknik yenilikler ve ekosistem genişlemesi ile birlikte giderek artan güvenlik zorlukları ile de karşı karşıya. Güvenlik izleme platformu verilerine göre, yıl sonuna kadar Web3 alanında hacker saldırıları, kimlik avı dolandırıcılıkları ve proje sahiplerinin kaybolması nedeniyle toplam kayıplar 24.91 milyar dolara ulaşmıştır.
Bu olaylar sadece özel anahtar yönetimi, akıllı sözleşme açıkları gibi teknik eksiklikleri açığa çıkarmakla kalmadı, aynı zamanda sosyal mühendislik ve iç yönetimlerin potansiyel risklerini de vurguladı. Bu makalede, 2024 yılı Web3'ün en önemli on güvenlik olayını derleyeceğiz, böylece endüstri dersler çıkarabilir ve gelecekteki güvenlik tehditleriyle daha iyi başa çıkabilir.
1. DMM Bitcoin olayı
Kayıp Tutarı: 304 milyon ABD Doları Saldırı yöntemi: Özel anahtar sızıntısı
31 Mayıs 2024'te, Japonya'nın tanınmış kripto para borsası DMM Bitcoin büyük bir saldırıya uğradı. Saldırganlar, sızdırılan özel anahtarları kullanarak 300 milyon dolardan fazla değerinde Bitcoin'i doğrudan transfer etti ve çalınan fonları 10'dan fazla farklı adrese hızla dağıttı. Bu olay, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik önlemleri konusundaki ciddi açıklarını ortaya çıkardı. Borsa, zincir üzerindeki izleme ve fonları dondurma gibi yöntemlerle hacker'ı takip etse de, çalınan Bitcoin'lerin dağıtılarak karıştırma araçlarıyla temizlenmesi nedeniyle izleme çalışmaları büyük zorluklarla karşı karşıya.
Yıl sonunda, Japon polisi bu hırsızlık olayının Kuzey Koreli bir hacker grubu tarafından planlandığını doğruladı.
2. PlayDapp büyük bir darbe aldı
Zarar Miktarı: 290 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı
9 Şubat 2024'te, PlayDapp ciddi bir darbe aldı. Hackerlar özel anahtarları çalarak 2 milyar PLA tokeni basmayı başardı, başlangıçta değeri 36.5 milyon dolardı. Proje ekibi ile hackerlar arasındaki müzakerelerin başarısız olması sonucunda, hackerlar ardından 15.9 milyar PLA tokeni daha basarak 253.9 milyon dolarlık bir değere ulaştılar. Çalınan tokenlerin bir kısmı borsa piyasasına düştükten sonra, PlayDapp PLA sözleşmesini askıya almak ve yeni PDA token sözleşmesine geçmek zorunda kaldı. Bu olay, blockchain projelerinin özel anahtar koruması ve acil durum yanıtı konusundaki eksikliklerini gözler önüne serdi.
3. WazirX Çoklu İmza Cüzdanı Saldırıya Uğradı
Zarar Miktarı: 235 milyon ABD Doları Saldırı Yöntemi: Ağ Saldırıları ve Phishing
18 Temmuz 2024'te, Hindistan'ın en büyük kripto para borsası WazirX'in Safe Wallet çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleri kullanarak çoklu imza imzacısını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki tüm varlıkları transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yönetimi ve işlem şeffaflığı konusundaki potansiyel risklerini ortaya koydu ve sektörde projelerin iç kontrol mekanizmaları üzerine derin düşünmelere yol açtı.
4. Gala Games sözleşme açığı istismar edildi
Zarar Miktarı: 216 milyon dolar Saldırı Yöntemi: Erişim Kontrol Açığı
20 Mayıs 2024'te, Gala Games'in belirli bir ayrıcalıklı adresi bir hacker tarafından kırıldı. Saldırgan, token sözleşmesinin mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni mint etti. Ardından, hacker artırılan tokenleri parça parça ETH'ye dönüştürdü ve bu durum doğrudan 216 milyon dolarlık bir kayba yol açtı. Gala Games ekibi olaydan sonra acil olarak kara liste işlevini devreye sokarak bazı hacker hesaplarını engelledi ve yasal yollarla kayıpların bir kısmını geri almaya çalıştı.
5. Ripple kurucu ortakları siber saldırıya uğradı
Kayıp Tutarı: 112 milyon ABD Doları Saldırı Yöntemi: Özel Anahtar Sızıntısı
2024 yılının 31 Ocak'ında, Ripple'ın kurucu ortağı Chris Larsen'in dört kişisel cüzdanı siber saldırıya uğradı ve bunun sonucunda 112 milyon dolar değerinde XRP çalındı. Bu cüzdanların, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi olduğu düşünülüyor. Olaydan sonra, bir ticaret platformu 4.2 milyon dolar değerinde XRP'yi başarıyla dondurdu ve çalınan varlıkların takibine yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla aklandı.
6. Munchables İç İstila ile Karşılaşıyor
Zarar Miktarı: 62.5 milyon dolar Saldırı Yöntemi: Sosyal Mühendislik Saldırısı
26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırgan, blockchain geliştiricisi kılığına girerek, uzun süreli sızma ile çekirdek kodu ve hassas anahtarları ele geçirdi. Büyük kayıplara neden olmasına rağmen, topluluk ve ekip baskısı altında, hacker sonunda çalınan tüm fonları geri iade etti. Bu olay, özellikle üçüncü taraf geliştiricilere bağımlı olan blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.
7. BtcTurk Özel Anahtar Sızıntı Olayı
Zarar Tutarı: 55 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı
22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası BtcTurk, özel anahtar sızıntısı saldırısına uğradı ve 55 milyon doların üzerinde kripto varlık kaybetti. Bir ticaret platformunun yardımıyla, 5.3 milyon dolar çalınan fon başarıyla donduruldu, ancak diğer varlıklar hâlâ geri alınamadı. Bu olay, merkeziyetsiz borsaların özel anahtar yönetimi konusundaki endişeleri derinleştirdi.
8. Radiant Capital Çoklu İmza Cüzdanı Saldırıya Uğradı
Kayıp Tutarı: 53 milyon ABD Doları Saldırı Yöntemi: Özel Anahtar Sızıntısı
17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı bir siber saldırıya uğradı. Düşük eşik seviyesine sahip 3/11 imza doğrulama modeli kullanıldığı için, hacker üç imza sahibinin özel anahtarlarını ele geçirerek, cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese transfer eden çevrimdışı imzalar başlattı ve sonunda 53 milyon dolar çalındı. Bu saldırı, çoklu imza cüzdanlarının tasarımı ve yönetim mekanizmaları hakkında sektörde bir sorgulama başlattı.
Dikkate değer bir nokta, Radiant Capital'in bu saldırıdan önce sözleşme açığı nedeniyle 4.5 milyon dolar kaybetmesi ve 1900'den fazla ETH'nin çalınmış olmasıdır. Bu, Web3 projelerinin güvenliğe verdiği önemin hala artırılması gerektiğini bir kez daha vurgulamaktadır.
9. Hedgey Finance Sözleşme Açığı Kullanıldı
Zarar Miktarı: 44.7 milyon dolar Saldırı Yöntemi: Sözleşme Açığı
19 Nisan 2024'te, Hedgey Finance, birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum zincirlerindeki token'ları başarıyla çekti ve toplam kayıp 44.7 milyon dolara ulaştı. Bu olay, kod denetiminin önemini, özellikle token onay mantığının titiz bir şekilde doğrulanması gerektiğini vurguladı.
10. BingX Borsası Sıcak Cüzdanı Hedef Alındı
Zarar Miktarı: 44.7 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı
19 Eylül 2024'te, BingX borsasının sıcak cüzdanı bir hacker tarafından ihlal edildi ve Ethereum, BNB Chain, Tron gibi birçok halka açık blockchain'i etkiledi. Borsa, varlık transferi ve para çekme dondurma mekanizmasını hızla devreye sokmasına rağmen, hacker 44.7 milyon dolar değerinde varlık çekmeyi başardı. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek risklerini bir kez daha vurguladı ve sektörü daha güvenli varlık depolama çözümleri arayışına itti.
2024'te sıkça meydana gelen güvenlik olayları, bize blockchain endüstrisinin gelişiminin güvenlik garantisinden ayrılamayacağını bir kez daha hatırlatıyor. Özel anahtar sızıntısından akıllı sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerindeki yükselişe kadar, her bir olay derin dersler getiriyor. Artan karmaşık saldırı tehditlerine karşı koymak için, sektördeki tüm tarafların teknoloji geliştirme, yönetim standartları ve risk kontrolüne sürekli yatırım yapmaları gerekiyor. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla daha güvenli bir blockchain ekosistemi inşa etmeyi umuyoruz, böylece kullanıcılar ve yatırımcılara daha güvenilir bir koruma sunabileceğiz.