Blockchain & Cryptocurrency , Cryptocurrency Dolandırıcılığı , Dolandırıcılık Yönetimi ve Siber Suçlar
Denetimin Kendisi Güvenliği Sağlayamaz
Rashmi Ramesh (rashmiramesh_) •
6 Şubat 2023
Kripto para biriminin merkezi olmayan bir finans sorunu var: Çok güvenli değil.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Çok az siber güvenlik uzmanı, kripto para birimlerinin altında yatan teknolojinin – blok zincir – güvenli olduğu konusunda tartışıyor. Şifreleme ve doğrulama katmanlarına sarılmış olan dağıtılmış defter, saldırılara karşı dayanıklıdır.
Yine de, geçtiğimiz yıl kripto para birimi sahipleri için rekor kıran hack kayıpları yaşandı. Bir hafta bile geçmedi, şu ya da bu yağma haberi olmadan, çoğu kez, hesabını kaybeden hesap sahiplerinin bilgisayar korsanının çalınan fonlarını iade etmesi için ricaları, eksi ağır bir “beyaz şapka” ödülü eşlik etti.
Kripto para birimlerini Faraday kafesi ile korunan bir kutunun içindeki bellek sürücüsü dışında herhangi bir şeyde tutmak, görünüşe göre 2022’de kaderi baştan çıkaracakmış. Blok zincirinin üzerinde çalışan merkezi olmayan finans platformları. 2022 bir gördü rekor kırma Geçen yıl bu uygulamalardan 3 milyar dolar çalındı.
DeFi korsanlığındaki artışın bir nedeni, devam eden kripto kışına rağmen mevduatın 2020’nin sonlarında yaklaşık 13 milyar dolardan şimdi 50 milyar dolara katlanarak artmasıdır.
QuantStamp’ın yeni inisiyatif başkanı Martin Derka, Web3 bilgisayar korsanlarının farklı sektörlerdeki akranlarından farklı olmadığını söylüyor: Para neredeyse oraya gidiyorlar. Miktarlar göz kamaştırıcı olabilir. Dijital hırsızlar, bir doğrulama sürecinden geçmek yerine işlem mesajlarının hemen doğrulanmasına izin veren bir kusur keşfettikten sonra ağustos ayında zincirler arası platform Nomad’a akın etti. Düzinelerce saldırgan, toplu bir hırsızlıkta 200 milyon dolar aldı. Geçen yıl Kuzey Koreli bilgisayar korsanları, Axie Infinity’nin Ronin köprüsü hackinden 600 milyon dolardan fazla çaldı.
Ancak bilgisayar korsanlığının yoğunluğu ve kötü aktörlerin DeFi platformlarındaki güvenlik açıklarını bulması ve bunlardan yararlanabilmesindeki büyük kolaylık, sorunun ödeme peşindeki bilgisayar korsanlarından daha büyük olduğunu gösteriyor. TRM Labs’in yıl sonu analizine göre, 2022’de her 10 kripto para birimi korsanlığı olayından dokuzu merkezi olmayan bir platformla ilgiliydi.
DeFi güvenliğinin durumunda bir sorun var.
DeFi Kolay – Belki Çok Kolay
Bilgi sahibi olanlar için bir DeFi platformu başlatmak zor değil. Bu, kripto para birimi ticaretindeki benzersiz dönüşlerini ilerletmek isteyen kurucular için harika. Aynı zamanda, müşteri mevduatları da dahil olmak üzere mevcut tüm fonlarının platformunu erken boşaltmak için düşük likiditeli bir belirtecin değerini yapay olarak artırmak için kullanılabilecek gömülü boşlukların bir kaynağıdır (bakınız: Mango Piyasaları Hacker’ı ABD Düzenleyicisinin Hedefinde).
“Eski tüccar olan kurucularımız, liseden bile mezun olmamış kurucularımız var. Ne yazık ki, deneyimsizlik, iyi mühendislik uygulamalarını sürdürmemek ve gelişmemekle köşeleri kesmeye dönüşebilir. [the software] Hızlı bir şekilde sevk etmek için düzgün bir şekilde” dedi Derka.
Bu deneyimsizlik ve bilgi eksikliği, uygulamaları tüketiciler için çekici kılmak için birden fazla özelliğe sahip olmasına neden olur, ancak bu, dokümantasyonun sürdürülmesi ve sonradan akla gelen güvenlik pahasınadır. Derka, bunun kodda güvenlik açıklarına yol açtığını söyledi.
DeFi’yi topluluk için çok çekici kılan şeffaflığı, aynı zamanda onun Aşil topuğudur. Chainalysis, “Hackerlar, güvenlik açıkları için DeFi kodunu tarayabilir ve hırsızlıklarını en üst düzeye çıkarmak için mükemmel zamanda saldırabilir.” Dedi.
Farklı altyapı katmanlarının üst üste yığıldığı web3 ekosisteminin karmaşık, “lego benzeri” kalitesi de çekici bir hedef oluşturuyor çünkü bir katmandaki bir güvenlik açığı potansiyel olarak diğer tüm katmanları etkileyebilir. Derka, ISMG’ye bunun daha geniş bir saldırı yüzeyi sağladığını söyledi.
CertiK’in CEO’su ve kurucu ortağı Ronghui Gu, ISMG’ye “Geliştirmediğiniz sözleşmelerin güvenliğini kontrol edemezsiniz ve konuşlandırmadan sonra yükseltilebilir veya değiştirilebilirlerse risk profili değişebilir” dedi. Aynı şey, farklı işlevlere sahip katmanlı sözleşmeler kullanan uygulamalar için de geçerli: Zincirdeki bir zayıf halka, tüm uygulamayı tehlikeye atabilir, dedi Gu.
Denetimler Her Derde Deva Değildir
Güvenlik üzerindeki aşağı yönlü piyasa baskısı bir sır değil, bu yüzden kripto ticaret dünyası dikkatsiz çıkarlara karşı bir kontrol geliştirdi. Üçüncü taraflarca gerçekleştirilen kod denetimi, saygın DeFi platformları için varsayılan beklenti haline geldi. Ne yazık ki, herhangi bir kod incelemesinin yerleşik sınırlamalarına izin verse bile, denetim, anlamlı bir güvenlik garantörü olarak beklentileri karşılamıyor.
Sorun, birçok DeFi projesinin hızla üretime alınmasıyla aynı. Güvenlik, bir onay kutusu değil, devam eden bir taahhüttür.
Derka, “Denetçiler web3 güvenliğini yaşıyor ve nefes alıyorlar – bunu günlük olarak yapıyorlar, farkında bile olmayabileceğiniz istismarları gördüler ve projenizin etkileşime gireceği ekosistemi anladılar” dedi. Denetçiler, bir projenin kod tabanını inceler, bilinen güvenlik açıklarını aramak için otomatik araçlar kullanır ve korumalı bir ortamda platform güvenliğini araştırmak için özel saldırılar tasarlar. Ayrıca güvenlik önerileri yapmak için bu testlerin sonuçlarını yorumlarlar.
Yine de Derka, “Hiçbir denetçi herhangi bir akıllı sözleşmenin kesinlikle güvenli olduğunu söyleyemez” dedi. Ve daha da önemlisi, denetçiler bir denetim sırasında karşılaşılan sorunları düzeltmezler: yamaları uygulamak proje ekibinin işidir.
Gu, denetimin kritik bir ilk adım olduğunu ancak tek adım olmadığını söyledi. “Bunu bir arabanın güvenlik derecelendirmesi gibi düşünün. İdeal olmayan bir derecelendirmeye sahip bir arabayı yine de satın alabilirsiniz, ancak genel bilgi olan derecelendirme, satın almadan önce kararınızı etkileyebilir. karşılaşılan sorunları çözüyor ama bunu yapma imkanı da inşaatçıya veriyor” dedi.
Geçmişte BNY Mellon gibi bankalarla çalışmış olan David Schwed, şu anda Chainalysis’e göre daha sonra hiç hacklenmemiş DeFi protokollerini denetleme geçmişine sahip olan Halborn’un CEO’su. DeFi’nin güvenlik sorunlarının tek bir şeye indirgendiğini söyledi: güvenliğe yatırım eksikliği.
Önceliği büyüme olan DeFi geliştiricileri, güvenlik için ayrılması gerekenler de dahil olmak üzere tüm fonları inşa etmeye yönlendiriyor. “DeFi topluluğu genellikle daha iyi güvenlik talep etmiyor – yüksek getiri sağlayan protokollere geçmek istiyorlar. Ancak bu teşvikler ileride sorunlara yol açıyor” dedi.
DeFi ayrıca geleneksel finans kurumlarından güvenlik dersleri ödünç alabilir. Schwed, protokolleri simüle edilmiş saldırılarla test etmeyi, potansiyel saldırıları erken tespit etmek için akıllı sözleşmelerdeki şüpheli etkinliği izlemeyi ve şüpheli etkinlik algılanırsa işlemleri otomatik olarak durduran devre kesicileri yerleştirmeyi önerdi.
En azından DeFi’nin nihai hedefi yaygın tüketici güveni ise, DeFi’nin piyasa baskılarına karşı düzenleyici zorunluluklardan faydalanması da mümkündür. Geleneksel finansın aksine, uygun güvenliği uygulamadığı için DeFi’ye ceza verme yetkisi yoktur.
Schwed, Chainalysis’e düzenleyicilerin geliştiricilerin uyması için minimum güvenlik standartları belirleyebileceğini söyledi. “DeFi saldırılarıyla ilgili veriler bir şeyi netleştiriyor: İster düzenleme yoluyla ister gönüllü benimseme yoluyla elde edilsin, DeFi protokolleri, ekosistemin büyümesi, gelişmesi ve sonunda ana akıma nüfuz etmesi için daha iyi güvenlik benimsemekten büyük ölçüde fayda sağlayacaktır” dedi.