BAYC Saldırısı 250.000$ Kayba Yol Açtı
CertiK CEO’su ve kurucu ortağı Ronghui Gu tarafından
NFT’ler web3’teki en çok manşetleri kaplayan konulardan biridir ve en popüleri dudak uçuklatan fiyatlara satılır ve özel bir hayran ve koleksiyoner takipçisi oluşturur.
NFT’lerin parasal değerine hâlâ inanmayanlar, bir hacker’ın 32 NFT’yi ele geçirip bunları 142 ETH’ye (250.000 $’ın üzerinde) satabildiği Bored Ape Yacht Club’a (BAYC) karşı yapılan son hack’e bir göz atmalıdır. ) bir kimlik avı saldırısında.
Saldırıda bilgisayar korsanı, resmi BAYC sitesini taklit eden sahte bir kimlik avı sitesi paylaştı. Bu kötü niyetli site daha sonra BAYC, MAYC ve OthersideMeta sahiplerinin bir bağlantıya tıkladıklarında ücretsiz bir NFT talep edebileceklerine söz verdi.
Saldırının kurbanları kandırıldıkları için affedilebilir – sahte site yalnızca resmi BAYC sitesinin neredeyse bir kopyası olmakla kalmadı, aynı zamanda bir topluluk yöneticisinin hesabı ele geçirildikten sonra resmi BAYC anlaşmazlık sunucusuna dağıtıldı.
Şaşırtıcı bir şekilde, bu, BAYC sunucularının bu yıl üçüncü kez ele geçirilmesi ve ikincisi ise kayıplara neden oldu. 1 Nisan’da bir bilgisayar korsanı BAYC discord sunucusuna erişebildi ve BAYC’nin topluluğuna bir uyarı vermesine neden oldu. Daha sonra, 25 Nisan’da aynı ayın ilerleyen saatlerinde BAYC, Instagram hesabına başka bir kimlik avı saldırısına uğradı ve bu sefer 1,3 milyon doların üzerinde bir değere denk gelen 91 NFT’nin çalınmasına yol açtı.
web2 akşamdan kalma
NFT’ler web3 ekosisteminin en kesin ürünlerinden biri olarak görülse de, bir saldırganın bir phishing saldırısını başarılı bir şekilde kullanabilmesi, projelerin nasıl olduğunu gösterir. hâlâ genellikle web2 ile ilişkilendirilen saldırılara karşı savunmasızdır.
Bu tür kimlik avı saldırılarının devam eden başarısı, web3 ekosistemini güvence altına almaya çalışan herkes için sinir bozucu, çünkü web3’ün merkezi olmayan doğasının vaadinin bir parçası olarak, bu tür saldırıları geçmişte bırakabilir. Bununla birlikte, web3’te merkezileşme olduğu sürece, bilgisayar korsanlarının sunduğu tek başarısızlık noktasından yararlanma şansı kalır. Yakın tarihli bir Defi Durumu raporu, ’44 DeFi Hack’lerinde 1,3 milyar doların üzerinde kayıpla merkezileşme sorunlarının en yaygın saldırı vektörü olduğunu’ gösteriyor.
BAYC hack’i gibi oltalama saldırılarında, bu merkezileştirme noktası, bir topluluk yöneticisinin hesabı biçiminde geldi ve bu, bilgisayar korsanına özgünlük yanılsaması verdi ve kötü niyetli bağlantılarına başka türlü sahip olamayacağı güvenilirlik kazandırdı.
Ne yapalım?
Web3’te her zaman merkezileştirmenin bazı yönleri olması muhtemel olsa da, güvenliği artırmak için bir projenin yapısına ademi merkeziyetçilik uygulamalarını uygulamanın yolları hala vardır. Örneğin, BAYC, ayrıcalıklı hesaplara erişmek için çoklu imza doğrulaması gerektirerek ve ayrıca herhangi bir gönderi veya değişiklik yapıldığında kendisini daha iyi koruyabilirdi.
Bu, yetkiyi birden fazla düğüm arasında etkin bir şekilde dağıtır, yani bilgisayar korsanının BAYC’nin anlaşmazlığına ayrıcalıklı erişim elde etmeden önce birden fazla hesabı tehlikeye atmak zorunda kalacağı anlamına gelir.
Ayrıcalıklı erişime sahip hesapların nasıl yönetileceği birçok web3 projesi için bir sorun olmaya devam ediyor ve bir saldırgan saldırdığında büyük kayıplara yol açmaya devam ediyor. Devam eden güvenlik denetimleri, ekiplerin projelerinin en iyi savunmaya sahip olduğundan emin olmak için alabilecekleri en iyi önlemlerden biridir, çünkü bir bilgisayar korsanının proje büyüdükçe bir saldırı gerçekleştirmek için merkezileştirmeden yararlanabileceği alanları vurgulayacaktır.
Yine de merkezileşme riski buradaki hikayenin sadece yarısı. Ayrıca, web3’ün içerdiği riskler hakkında daha iyi bir topluluk anlayışı geliştirmeye ve varlıklarınızı vermeniz için sizi kandırmaya çalışan kötü oyuncuları tespit etmenin en iyi yollarına ihtiyaç vardır.
Tüm projelerin sosyal medya platformlarını güvende tutmak için topluluklarına karşı bir sorumluluğu olsa da, NFT sahipleri ayrıca ücretsiz varlıklar sunduğunu iddia eden herkesten oldukça şüpheli olmalıdır, çünkü bunlar genellikle gizli kimlik avı saldırıları olabilir.
BAYC’nin 4 Haziran saldırısında, kötü niyetli sitenin gerçek siteden birkaç küçük farkı vardı. İlk olarak, otantik sitenin aksine, oltalama sitesi BAYC’nin sosyal medya sitelerine bağlantılar sağlamadı. Ayrıca, özellikle popüler NFT projelerini hedefleyen “ücretsiz arazi talep etme” başlıklı bir sekme eklendi.
Hafif olsa da, bu farklılıklar herhangi bir kullanıcıyı olası kötü amaçlı etkinliklere karşı uyarmalıdır. En azından, bu tür eşantiyonlarla ilgilenen kullanıcılar, siteyi bilinen ve onaylanmış bir siteyle karşılaştırarak ve herhangi bir tutarsızlık arayarak sitenin meşruiyetini doğrulamak için her zaman çaba göstermelidir.
İleriye bakmak
Daha karmaşık web3 saldırılarının yanı sıra kimlik avı saldırılarının kalıcılığı, web3 ekosisteminin kendini savunması gereken çok sayıda sınırı vurgular. Web3, internetin bugüne kadarki en güvenli yinelemesi olma potansiyeline sahiptir. Ancak oraya ulaşmak için web3 projelerinin güvenlikleri için sürekli, uçtan uca bir yaklaşım benimsemesi gerekiyor. Bu, rutin akıllı sözleşme denetimleri, blok zinciri analitiği ve ademi merkeziyetçilik uygulamaları gibi araçlardan yararlanmak anlamına gelir. BAYC hackinin gösterdiği gibi, bunu yapmamak sadece projeler için değil, aynı zamanda toplulukları için de felaket anlamına geliyor.
yazar hakkında
Profesör Gu, Columbia Üniversitesi’nde Tang Ailesi Bilgisayar Bilimleri Yardımcı Doçenti ve CertiK’in Kurucu Ortağıdır. Doktora derecesine sahiptir. Yale Üniversitesi’nden Bilgisayar Bilimleri ve Tsinghua Üniversitesi’nden lisans derecesi. CertiKOS ve SeKVM’nin birincil tasarımcısı ve geliştiricisidir. Gu şunları aldı: Bir SOSP En İyi Makale Ödülü, bir CACM Araştırma Özeti ve bir Yale Seçkin Tez Ödülü. CertiK hakkında daha fazla bilgiyi burada bulabilirsiniz: https://www.certik.com/
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.