Merkezi olmayan finans (DeFi), daha fazla kapsayıcılık ve daha hızlı, anonim işlemler vaadiyle geleneksel finans dünyasını bozmayı hedefliyor, ancak bunu yapmak için önemli bir zorluğun üstesinden gelmesi gerekecek. DeFi’yi yöneten akıllı sözleşmeler, milyonlarca dolarlık kullanıcı fonunun kaybolmasına neden olan istismar edilebilir kodlarla dolu.
Ağustos 2021’de, önde gelen bir Japon kripto para borsası olan Liquid Global, 97 milyon dolardan fazla değerinde kripto paranın çalınmasıyla sonuçlanan bir saldırıya uğradı. Daha sonra, bilgisayar korsanlarının borsanın çok taraflı hesaplama cüzdanlarını hedef alarak içlerindeki fonları dört harici cüzdana aktardıkları keşfedildi. Bilgisayar korsanları yaklaşık 107 Bitcoin, 9 milyon TRON, 11 milyon XRP ve yaklaşık 600 milyon dolar değerinde Ethereum ile kaçtı.
Sadece bir gün sonra, bir saldırgan Poly Network protokolünden 612 milyon dolar değerindeki şaşırtıcı bir kripto parayı çaldığında, DeFi endüstrisi şimdiye kadarki en büyük saldırısını yaşadı. Neyse ki bilgisayar korsanı Bay White Hat, protokolün akıllı sözleşme kodundaki güvenlik açığını vurgulamak isteyen etik bir bilgisayar korsanı olduğunu söyleyerek kısa süre sonra fonları iade etti. Her halükarda, son derece yakın bir tıraş oldu, çünkü daha az etik bir bilgisayar korsanı, açıktan kolayca tökezleyebilir ve benzer bir miktarla kaçabilirdi.
Aynı ayın ilerleyen saatlerinde, kitlesel fonlama platformu DAO Maker’ı bir başka saldırı daha hedef aldı. Bir kez daha akıllı sözleşme kodu, bir saldırgan tarafından 7 milyon dolardan fazla kullanıcı fonu elde etmek için kullanıldı. Bu, bilgisayar korsanlarının yalnızca o ay toplam 716 milyon dolar değerinde kripto çaldığı anlamına geliyordu.
Aynı yılın Aralık ayında, bilgisayar korsanları akıllı sözleşmesindeki güvenlik açıklarından yararlandıktan sonra, bilgisayar korsanları MonoX DEX platformundan 30 milyon dolar çaldı.
Bu yıla hızlı ileri sarın ve hack’ler gelmeye devam etti. 2022’de şimdiye kadarki en büyük saldırı, popüler NFT oyunu Axie Infinity tarafından kullanılan zincirler arası bir köprü olan Ronin’e yapılan saldırıydı. Bilgisayar korsanları, Ronin’in kodunda kritik bir güvenlik açığı buldu ve 1730.000 ETH ve 25 milyon doların üzerinde değerinde USDC ile toplam 552 milyon dolar kazanç elde etti.
Bu saldırı, başka bir köprü olan Wormhole’un 300 milyon dolardan fazla zarara yol açan bir saldırıya uğramasından ancak bir ay sonra geldi. Ardından, Nisan ayında, DeFi protokolü Beanstalk, flaş kredi akıllı sözleşmesindeki 24 saatlik yürütme gecikmesinden yararlanan 182 milyon dolarlık bir hack’in kurbanı oldu.
Akıllı Sözleşmeler Savunmasızdır
Bu yazının yazıldığı sırada DeFi ekosistemine kilitlenmiş 40 milyar dolardan fazla kripto para birimi ile, taşıdığı risklere rağmen sektörün burada kalacağı açık görünüyor. Bununla birlikte, tümü şu anda 4 milyar dolardan fazla değere sahip kullanıcı varlığına ev sahipliği yapan Oasis, Lido, Uniswap V2 ve Aave adlı ilk dört DeFi protokolüyle, endişe verici yüksek profilli bilgisayar korsanlığı seli sektör için büyük bir tehdit oluşturuyor. geleneksel finansal hizmetlere uygulanabilir bir alternatif olarak ortaya çıkma hırsını rayından çıkarıyor.
Bazı hack saldırıları, gevşek güvenlik önlemlerinden ve kullanıcıların kişisel anahtarlarına yönelik kimlik avı girişimlerinden kaynaklansa da, gerçek şu ki, DeFi endüstrisinde çalınan fonların çoğunluğunun tek bir nedeni var: sektöre güç veren akıllı sözleşmelerdeki güvenlik açıkları. Güvenlik açıkları bir kodlama hatasından veya harici fiyat manipülasyonundan veya başka bir şeyden kaynaklanıyor olabilir, ancak sonuç her zaman aynıdır – milyonlarca dolar değer kaybı ve kurbanlar için umutsuzluk.
Akıllı sözleşmeler, DeFi’nin temelini oluşturan kendi kendini yürüten kodlardır. Merkezi olmayan blok zinciri ağlarında çalışırlar ve işlemleri otomatikleştirme rolünü oynarlar, böylece bir aracıya (banka) olan ihtiyacı ortadan kaldırırlar. Anonim taraflar arasındaki anlaşmaların, belirli koşullar yerine getirildiğinde hemen gerçekleştirilmesine izin vererek işlemleri hızlandırır ve yüksek maliyetli ücretleri ortadan kaldırır.
Ancak akıllı sözleşmeler ne kadar önemli olsa da, bilgisayar korsanlarının yararlanmaya çok hevesli olduğu güvenlik açıklarıyla da doludur. Yaptıkları meblağların bir kısmı göz önüne alındığında bu bir sürpriz değil. DeFi cazip bir hedef ve güvenlik açıkları devam ettiği sürece öyle olmaya devam edecek.
Endüstri Nasıl Tepki Verdi?
İyi haber şu ki, DeFi endüstrisi bu potansiyel olarak ölümcül sorunu çözmek için çok çalışıyor. Bunu yapmanın bir yolu, geliştiriciler için en iyi uygulamaları sürdürmektir. Sonuçta, Ethereum’da akıllı sözleşmeler oluşturmak için kullanılan programlama dili olan Solidity hala yeni ve deneyseldir, bu nedenle geliştiriciler bir yardım elinden yararlanabilir.
Bir Ethereum yazılım geliştiricisi olan Consensys, GitHub sayfasında bulunan en iyi uygulamaların bir listesini oluşturdu. Solidity geliştiricileri için tavsiyelerin yanı sıra yaygın akıllı sözleşme saldırılarına ilişkin örnekler sunar. Ayrıca, geliştiricilerin güvenlik açıklarını kendileri belirlemeye çalışmak için kullanabilecekleri yazılımlar sağlar. Başka bir şirket olan 101 Blockchains, geliştiricilerin kodlarındaki yarım kalan işleri halletmek için kullanabilecekleri, risk azaltmayla ilgili kapsamlı bir blockchain ilkeleri ve tavsiye listesi oluşturdu.
Akıllı sözleşme saldırılarının çoğalması, blok zinciri güvenliği etrafında yeni bir endüstrinin yükselmesine de yol açtı. Kaspersky gibi şirketler, blockchain güvenlik değerlendirmeleri ve ağ penetrasyon testi sunarken, Endpoint Protection ürünü tüm sistemleri cihaz düzeyinde güvence altına alabilir. Bu arada, veri güvenliği firması Cocoon Data’nın Safeshare teklifi, dosya güvenliğini sağlamak ve ihlalleri önlemek için patentli teknolojiye güveniyor.
Ayrıca, uygulama kod tabanlarını piyasaya sürülmeden önce güvenlik açıklarına karşı analiz eden CertiK gibi akıllı sözleşme denetim firmaları da iyi işler yapıyor. Bu kapsamlı denetimler, kodun nasıl çalıştığını belirler, hataları tespit eder ve geliştiricilere tespit edilebilecek açıkları düzeltmeleri için geri bildirim sağlar.
CertiK söz konusu olduğunda, akıllı sözleşme kodlarını incelemek için Skynet Tarama Teknolojileri adı verilen özel bir yazılım kullanır. Bu arada Slowmist, Blok Zinciri Tehdit İstihbaratı adlı entegre bir veri sistemi sunuyor ve Quantstamp, herhangi bir geliştiricinin kodlarını doğrulayıcı düğümlere karşı kontrol etmek için kullanabileceği merkezi olmayan bir akıllı sözleşme denetim protokolü oluşturdu.
Akıllı Sözleşmeleri Yeniden Düşünmek
Yine de herkes havlu atmıyor. Kendisini DeFi için amaca yönelik varlık odaklı bir akıllı sözleşme olarak tanımlayan Radix adlı bir şirket, bunun yerine güvenlik açıklarının koda sızma riskini en aza indirmek için akıllı bağlantıların çalışma şeklini yeniden keşfetmeyi hedefliyor.
Bunu yapmak için Radix, Solidity ve Ethereum Virtual Machine’e dayanmayan, bunun yerine Radix Engine adını verdiği tamamen yeni bir mimariye dayanan alternatif bir DeFi altyapısı geliştirdi. Özellikle, sonlu durum makineleri kavramına dayanır. Radix’in FSM’leri kullanması, Turing’in eksiksiz akıllı sözleşmelerine kıyasla tamamen yeni bir geliştirici paradigması ile sonuçlandı. Bununla birlikte, bilgisayar korsanlarının fırsatları önemli ölçüde azaltılabilir.
Radix geliştiricileri, geleneksel akıllı sözleşmeleri kullanmak yerine DeFi uygulamalarını, merkezi olmayan uygulamalarının (dApp’ler) “eylemler” ile neler yapabileceğini tanımlayan kod parçaları olan “bileşenleri” kullanarak oluşturur.
Buna karşılık, bu, dApp’lerin tasarlanmasını ve analiz edilmesini kolaylaştırır ve davranışlarının daha öngörülebilir olmasını sağlar. Bileşenler, Lego yapı tuğlaları olarak düşünülebilir – geliştiriciler bunları özelleştirebilir ve dApp’lerine güç sağlayan akıllı sözleşme işlevselliğini oluşturmak için ek bileşenlerle birbirine bağlayabilir.
Bileşenler topluluk tarafından yoğun bir şekilde incelendiği ve ardından tekrar tekrar kullanıldığı için, oluşturulan her bir dApp ile sıfırdan yazılan geleneksel akıllı sözleşmelerden çok daha güvenlidirler.
Bileşenler kullanılarak oluşturulan radikal dApp’ler, bir makinedeki çarklara benzetilebilir. Tüm çarkların beklendiği gibi çalıştığını varsayarsak, işlem başarılı olacaktır. Ancak çarklardan (bileşenlerden) biri başarısız olursa, tüm işlem iptal edilerek kullanıcının parasının cüzdanlarında güvende kalması sağlanır.
Daha Akıllı Bir Gelecek
Kripto para biriminin artan popülaritesi, fonların önümüzdeki yıllarda kaçınılmaz olarak DeFi alanına akmaya devam edeceği anlamına geliyor. Bu nedenle, geliştiriciler akıllı sözleşme güvenlik açıklarının tehlikelerini görmezden gelemezler, yani geçmişin güvenilmez geliştirme paradigmalarında ısrar edemezler.
İyi haber şu ki, Radix gibi projeler, DeFi’ye daha fazla güvenlik getirmenin ve kullanıcılar için uygun koruma sağlamanın yolları olduğunu kanıtlıyor. Radix tabanlı DeFi’nin uzun vadede yükselip yükselmeyeceği henüz belli değil, ancak ilgi görüyor olması, geliştiricilerin akıllı sözleşme kodlarını oluştururken daha katı olmaları gerektiğini anladıklarını gösteriyor.
Sonuç olarak, endüstri yavaş yavaş, bilgisayar korsanlığı saldırıları tehdidinin ortadan kalkması için akıllı sözleşme kodunun daha akıllı hale gelmesi gerektiğinin farkına varıyor.
Alakalı haberler
- Nomad Crypto Hack’ten Alınacak Dersler
- Blokhaus’un Yeni Açık Kaynak NFT Aracı Minterpress ile Tanışın
- Genel nüfus neden kripto para birimi konusunda eğitilmelidir?
- ABD, Silk Road Market Dolandırıcısından 1,4 milyar dolarlık Bitcoin ele geçirdi
- Dapps için DeFi Startup AllianceBlock’un Güvensiz Kimlik Doğrulama Hizmeti