Milyarlarca dolar değerinde dijital varlık, blockchain köprülerinin bilgisayar korsanları tarafından kaybedildi.
Mart 2022'de, hackerların kötü niyetli bir saldırısının sonucu olarak Ronin Bridge protokolünden 625 milyon doların üzerinde kripto para çalındı ve bu olay şimdiye kadarki en büyük kripto para soygunlarından biri olarak işaretlendi. Haziran ayında, Harmony One'ın Horizon Bridge'i bir saldırıda 100 milyon dolardan fazla kaybetti. Ağustos ayında, temel teknolojisi olan akıllı sözleşmelerdeki bir güvenlik açığından yararlanılmasının bir sonucu olarak Nomad Bridge'den 200 milyon dolar daha kaybedildi .
Toplamda Chainalysis, yalnızca 2022'de blockchain köprülerinden 2 milyar doların üzerinde dijital varlığın çalındığını tahmin ediyor. Bu rakam , yıl içinde çalınan tüm kripto fonlarının yaklaşık %69'unu oluşturuyor .
Bu köprü hacklerinin sıklığı, kullanıcılar için bir uyarı sinyali ve blok zinciri teknolojisine güven inşa etmek için önemli bir tehdit haline geldi. Kripto para biriminin benimsenmesi hızlandıkça, endüstri, bu açıklardan yararlanmaya izin veren kusurları düzeltmek için artan bir baskıyla karşı karşıya.
Bu makalede, blok zinciri köprülerinin neden kripto ekosisteminin önemli bir parçası haline geldiğine, güvene dayalı ve güvenilmez köprüler arasındaki farka ve bilgisayar korsanlarının her birinde para çekmesine olanak tanıyan her modeldeki potansiyel zayıflıklara bakacağız.
Blockchain köprüleri nedir?
Ağ köprüleri veya zincirler arası köprüler olarak da bilinen blok zinciri köprüleri, blok zincirler arasındaki birlikte çalışabilirlik sorununu çözmek için tasarlanmış bir araçtır. Köprüler, blok zinciri endüstrisinin gerekli bir bileşeni haline geldi, çünkü mevcut haliyle blok zincirleri silolarda çalışıyor ve birbirleriyle iletişim kuramıyor.
Örneğin, kullanıcılar Ethereum blok zincirinde bitcoin ( BTC ) veya Bitcoin blok zincirinde eter ( ETH ) kullanamazlar. Bu nedenle, tüm fonlarını BTC'de tutan bir kullanıcı (ona Mehmet diyelim), bir öğe için başka bir kullanıcıya (haydi Ahmet diyelim) ödeme yapmak isterse, ancak Ahmet yalnızca ETH'yi kabul ederse, Mehmet bir duvara toslar. BTC'yi doğrudan Ethel'e gönderemez. ETH satın almak veya BTC'sinin bir kısmını ETH ile takas etmek için ek adımlar atabilir, ancak BTC doğrudan Ethel'e gönderilemez. Bu, çeşitli sağlayıcılarda kullanılabilen fiat para birimleri ve kredi kartlarına kıyasla büyük bir dezavantaj olarak görülebilir.
Blockchain köprüleri bu sorunu ortadan kaldırmayı amaçlıyor.
Her blok zinciri köprüsü farklı tasarlanırken, bu köprüler genellikle kullanıcıların belirli bir miktarda dijital varlığı bir blok zincirinde kilitlemesine izin verir. Karşılığında, protokol, kilitlenen fonlara eşdeğer başka bir blok zincirinde aynı miktarda varlığı kredilendirecek veya basacaktır.
Bu yeni varlıklar, bir belirtecin " wrapped " sürümleri olarak bilinir. Örneğin, bir blok zincirinde eterini (ETH) kilitleyen bir kullanıcı, başka bir blok zincirinde "wrapped" bir eter (wETH) alacaktır. Bu, Mehmet'in Ethereum blok zincirinde çalışan wrapped bitcoin'i (wBTC) Ahmet'e daha sorunsuz bir şekilde göndermek için bir köprü kullanmasına izin verir .
Güvene dayalı ve güvenilmez blok zinciri köprüleri
Güvenlik açısından, köprüler iki ana gruba ayrılabilir: güvenilir (vesayet olarak da bilinir) ve güvenilir olmayan (gözetim dışı). Güvenilir platformlar, esasen köprülü varlıkların koruyucusu olarak hareket ederken işlemleri doğrulamak için üçüncü taraflara güvenen platformlardır. Örneğin, tüm wrapped bitcoinler BitGo tarafından gözaltında tutulur. Bir şirketin tüm varlığı kontrol etmesi, tek bir başarısızlık noktası olduğu anlamına gelir. Şirket yozlaşmışsa, iflas ederse veya başka temel sorunları varsa, gözaltındaki kripto risk altındadır.
Örnek vermek gerekirse, Ronin Bridge protokolü, dördü Sky Mavis ekibi tarafından tutulan dokuz doğrulayıcıya dayanıyordu. Güvenliğini sürdürmek için, Ronin Bridge, bu doğrulayıcı düğümlerin (beş veya daha fazla düğüm) çoğunluğunun herhangi bir para çekme veya para yatırma işlemini başlatmasını gerektirir. Ancak, saldırganlar Sky Mavis ekibinin kontrol ettiği dört düğümün tümünü tehlikeye atabildikleri için, kontrolü ele geçirmek için yalnızca tek bir ek düğüme ihtiyaçları vardı. Bunu yaptılar ve “doğrulanmış” bir geri çekilme kisvesi altında 625 milyon dolarlık protokolü boşaltmalarına izin verdi.
Güvene dayalı köprülerin diğer örnekleri arasında Binance Bridge , Polygon POS Bridge , Avalanche Bridge , Harmony Bridge ve Terra Shuttle Bridge sayılabilir .
Öte yandan, yalnızca akıllı sözleşmelere ve saklama varlıklarını depolamak için algoritmalara dayanan platformlara güvenilmez köprüler denir. Sınırlamaları, temel kodunun bütünlüğü ile ilgilidir.
Örneğin, Wormhole Solana ve Ethereum arasında çapraz köprü işlemlerini kolaylaştıran bir platformdur. Wormhole, akıllı sözleşmedeki bir hata nedeniyle Şubat 2022'de istismara uğrayan bir blok zinciri köprü protokolüdür. Bu, saldırganların doğrulama süreçlerini atlamasına izin verdi ve 326 milyon doları aşan bir hack ile sonuçlandı .
Güvenilmez köprülerin diğer örnekleri Rainbow Bridge , Polkadot's Snowbridge ve Cosmos IBC'dir .
Blockchain köprüleri güvenli mi?
Hem güvenilir hem de güvenilmeyen yaklaşımların temel veya teknik zayıflıkları olabilir. Daha kesin olmak gerekirse, güvenilir bir köprünün merkezileştirme yönü temel bir kusur sunar ve güvenilmeyen köprüler, yazılımdan ve temel alınan koddan kaynaklanan istismarlara karşı savunmasızdır. Basitçe, akıllı sözleşmede bir kusur varsa, kötü niyetli tarafların bundan yararlanmaya çalışacağı neredeyse kesindir.
Ne yazık ki, endüstrinin karşı karşıya olduğu bilmeceye mükemmel bir çözüm bulunamadı. Hem güvenilir hem de güvenilir olmayan platformların tasarımlarında örtük kusurlar vardır ve blok zinciri köprüsünün güvenliğini kendi yöntemleriyle tehlikeye atar.
Ek olarak, kripto para birimi endüstrisinin değeri ve kullanıcıları artmaya devam ettikçe, bilgisayar korsanları daha karmaşık hale geliyor. Sosyal mühendislik ve kimlik avı saldırıları gibi geleneksel siber saldırılar da hem merkezi hem de merkezi olmayan protokolleri hedef alacak şekilde Web3 anlatısına uyarlanmıştır.
Kusursuz olmasa da, blok zinciri köprülerindeki güvenlik sorunlarını ele almaya yönelik değerli bir ilk adım, köprüyü blok zincirine yerleştirmeden önce son derece titiz bir kaynak kodu denetimi olabilir. Bu, herhangi bir kusuru en aza indirmek için baştan sona bir kontrol olmalı, çünkü tek yapılması gereken kötü bir kod satırıyla bir hata yapmak ve bilgisayar korsanlarının bir yolu var.
Bu nedenle, kullanıcıların belgelerin, kodun ve sistemin olgunluğunun kontrol edilmesini içeren herhangi bir köprüleme ekosistemiyle etkileşime girmeden önce gerekli özeni göstermeleri hayati önem taşır. Bu, geliştiriciler mevcut blok zinciri köprüleme protokollerinin sınırlamalarının üstesinden gelmek için bir çözüm bulurken kriptolarını korumanın bir yoludur.
0 Yorumlar