2024 Yılı Web3 Alanında En Güvenli On Olayın Değerlendirmesi

2024 yılında, blockchain sektörü teknoloji yenilikleri ve ekosistem genişlemesi ile birlikte giderek artan güvenlik zorluklarıyla da karşı karşıya kalmaktadır. Güvenlik izleme platformu verilerine göre, 2024 yılı itibarıyla Web3 alanında hacker saldırıları, phishing dolandırıcılığı ve proje geliştiricilerinin kaybolması nedeniyle toplam kayıplar 24.91 milyar dolara ulaşmıştır.

Bu olaylar yalnızca özel anahtar yönetimi, akıllı sözleşme açıkları gibi teknik kusurları ortaya çıkarmakla kalmadı, aynı zamanda sosyal mühendislik ve iç yönetimin potansiyel risklerini de vurguladı. Bu makalede, 2024 Web3'teki en önemli on güvenlik olayı gözden geçirilecektir; böylece sektör gelecekteki güvenlik tehditlerine daha iyi yanıt verebilmek için dersler çıkarabilir.

1. DMM Bitcoin: Özel anahtarın sızması sonucunda 304 milyon dolarlık zarar

31 Mayıs 2024'te, Japonya'nın önde gelen kripto para borsası DMM Bitcoin büyük bir güvenlik kazasıyla karşılaştı. Saldırganlar sızdırılan özel anahtarları kullanarak 300 milyon dolardan fazla değerde Bitcoin'i doğrudan transfer etti ve çalınan fonları hızla birden fazla adrese dağıttı. Bu saldırı, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik korumasındaki ciddi açıkları ortaya çıkardı. Borsa, saldırganı izlemek için zincir üzerindeki izleme ve fonları dondurma girişiminde bulunsa da, çalınan Bitcoin'lerin dağıtılarak transfer edilmesi ve karıştırma işlemleri kurtarma çalışmalarına büyük zorluklar çıkardı.

Dikkat çekici olan, 24 Aralık'ta Japon polisinin bu saldırının belirli bir uluslararası hacker örgütü tarafından gerçekleştirildiğini doğrulamasıdır.

2. PlayDapp: Özel anahtar sızıntısı 2,90 milyar dolara mal oldu

9 Şubat 2024'te, PlayDapp ciddi bir güvenlik olayıyla karşılaştı. Hackerlar özel anahtarları çalarak yasadışı bir şekilde 2 milyar PLA tokeni basmayı başardılar, bu da başlangıçta 36.5 milyon dolara eşdeğerdi. Proje ekibi ile hackerlar arasındaki müzakerelerin başarısız olması sonucunda, hackerlar daha sonra 15.9 milyar PLA tokeni daha basarak toplamda 253.9 milyon dolarlık bir değer oluşturdu. Çalınan bazı tokenler borsa üzerinden işlem görmeye başladıktan sonra, PlayDapp PLA sözleşmesini askıya almak zorunda kaldı ve yeni bir token sözleşmesine geçiş yaptı. Bu olay, blockchain projelerinin özel anahtar koruma ve acil müdahale konusundaki yetersizliklerini gözler önüne serdi.

3. Bir Hint Borsası: Siber Saldırılar ve Phishing 2.35 Milyar Dolar Zarar Verdi

18 Temmuz 2024'te, Hindistan'ın en büyük kripto para borsasının çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleri kullanarak çoklu imza imzalayıcılarını bir sözleşme güncelleme işlemini onaylamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki tüm varlıkları transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yapılandırması ve işlem şeffaflığı konusundaki potansiyel riskleri ortaya koydu ve sektördeki projelerin iç risk kontrolü ve güvenlik mekanizmaları üzerine derin düşünmelere yol açtı.

4. Gala Games: Erişim Kontrolü Açığı 2.16 Milyar Dolar Zarara Neden Oldu

20 Mayıs 2024'te, Gala Games'in bir ayrıcalıklı adresi hackerlar tarafından hedef alındı. Saldırgan, token sözleşmesindeki mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni bastı. Ardından, bu yasadışı olarak basılan tokenler kademeli olarak ETH'ye dönüştürüldü ve doğrudan 216 milyon dolarlık bir kayba neden oldu. Gala Games ekibi olaydan sonra hızla kara liste işlevini etkinleştirerek bazı hacker hesaplarını bloke etti ve yasal yollarla kayıplarının bir kısmını geri almaya çalıştı.

5. Bir kripto para projesinin kurucu ortağı: Özel anahtar sızıntısı 112 milyon dolarlık kayba neden oldu

2024 yılı 31 Ocak'ta, tanınmış bir kripto para projesinin ortak kurucusuna ait dört kişisel cüzdan, bir hacker tarafından ele geçirildi ve bu durum 112 milyon dolar değerinde kripto paranın çalınmasına neden oldu. Bu cüzdanların, donanım cihazı ile çift koruma eksikliği nedeniyle saldırıya hedef olduğu düşünülüyor. Olaydan sonra, büyük bir borsa çalınan varlıkların 4.2 milyon dolar değerindeki kısmını başarıyla dondurdu ve izleme konusunda yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla temizlendi.

6. Munchables: Sosyal mühendislik saldırıları 62.5 milyon dolar kayba neden oldu

26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırganlar, blockchain geliştiricisi gibi davranarak, uzun süreli bir sızma ile ana kod ve hassas anahtarları ele geçirdi. Saldırı büyük kayıplara yol açmasına rağmen, toplum ve ekipten gelen baskı altında, hacker sonunda çalınan tüm fonları geri iade etti. Bu olay, özellikle üçüncü taraf geliştirmelere bağımlı blockchain projeleri için tedarik zinciri güvenliğinin önemini vurguladı.

7. Bir Türk borsası: Özel anahtar sızıntısı 55 milyon dolarlık zarara yol açtı

22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası, özel anahtar sızıntısı saldırısına uğradı ve 55 milyon dolardan fazla kripto varlık kaybetti. Bir büyük borsanın yardımıyla, 5.3 milyon dolarlık çalınan fon başarıyla donduruldu, ancak diğer varlıklar hala geri alınamadı. Bu olay, merkezi borsaların özel anahtar yönetim kapasitesi konusundaki endişeleri daha da derinleştirdi.

8. Radiant Capital: Özel anahtar sızıntısı 53 milyon dolarlık zarara yol açtı

17 Ekim 2024'te, Radiant Capital'ın çok imzalı cüzdanı bir hacker tarafından saldırıya uğradı. Düşük eşik olan 3/11 imza doğrulama modeli kullanması nedeniyle, hacker 3 imzalayanın özel anahtarlarını ele geçirerek off-chain imza başlattı ve cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese devretti, bu da nihayetinde 53 milyon doların çalınmasına neden oldu. Bu saldırı, çok imzalı cüzdan tasarımı ve yönetim mekanizması üzerine sektörde bir sorgulama başlattı.

Dikkate değer bir nokta, Radiant Capital'ın bu saldırıdan önce sözleşme açığı nedeniyle 4,5 milyon dolar kaybetmesi ve 1900'den fazla ETH'nin çalınmasıdır. Bu, Web3 projelerinin güvenliğe olan öneminin artırılması gerektiğini bir kez daha vurgulamaktadır.

9. Hedgey Finance: Sözleşme açığı nedeniyle 44.7 milyon dolar kayıp

2024 yılının 19 Nisan'ında, Hedgey Finance çoklu zincir sözleşmelerine yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum zincirlerindeki token'ları başarıyla çektiler ve toplam kayıp miktarı 44.7 milyon dolar oldu. Bu olay, kod denetiminin önemini, özellikle de token onay mantığının titiz bir şekilde doğrulanmasının gerekliliğini vurgulamaktadır.

10. Bir Kripto Para Borsası: Özel Anahtar Sızıntısı 44.7 Milyon Dolar Kayıba Neden Oldu

19 Eylül 2024'te, tanınmış bir kripto para borsasının sıcak cüzdanı hacklendi ve etkilenen zincirler arasında Ethereum, BNB Chain, Tron gibi birçok kamu zinciri bulunuyor. Borsa, varlık transferi ve çekim dondurma mekanizmasını hızla başlatsa da, hacker 44.7 milyon dolar değerinde varlıklar çekmeyi başardı. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek risklerini bir kez daha ortaya koydu ve sektörü daha güvenli varlık saklama çözümleri aramaya yönlendirdi.

2024'te sık sık meydana gelen güvenlik saldırıları, bize blockchain sektörünün gelişiminin güvenlikten ayrılamayacağını bir kez daha hatırlatıyor. Özel anahtar sızıntılarından sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerinin gelişimine kadar, her olay sektöre derin dersler getirdi. Artan karmaşık saldırı tehditleriyle başa çıkmak için, sektördeki tüm tarafların teknik araştırma geliştirme, yönetim standartları ve risk önleme konularında yatırımlarını artırması gerekiyor. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla, daha güvenli ve güvenilir bir blockchain ekosistemi inşa etmeyi bekliyoruz, böylece kullanıcılara ve yatırımcılara daha güçlü bir güvence sunabiliriz.