2024 Web3 Güvenlik Olayları İncelemesi: En İyi On Saldırı Vakası ve Çıkarımları

2024 yılında, blockchain sektörü teknoloji inovasyonu ve ekosistem genişlemesi ile birlikte giderek artan güvenlik zorluklarıyla da karşı karşıya kalıyor. İzleme verilerine göre, yıl sonuna kadar Web3 alanında hacker saldırıları, kimlik avı dolandırıcılığı ve proje sahiplerinin kaybolması nedeniyle toplam kayıplar 24.91 milyar dolara ulaştı.

Bu olaylar yalnızca özel anahtar yönetimi, akıllı sözleşmeler gibi teknik alanlardaki açıkları ortaya çıkarmakla kalmadı, aynı zamanda sosyal mühendislik ve iç yönetim konusundaki potansiyel riskleri de vurguladı. Bu makale, 2024 Web3'ün en büyük on güvenlik olayını gözden geçirerek, sektörün buradan dersler çıkarmasını ve gelecekteki güvenlik tehditleriyle daha iyi başa çıkmasını amaçlamaktadır.

1. DMM Bitcoin: Özel anahtar sızıntısı 304 milyon dolar kayba neden oldu

31 Mayıs 2024'te, Japonya'nın önde gelen kripto para borsası DMM Bitcoin ciddi bir güvenlik olayıyla karşılaştı. Saldırganlar ifşa olan özel anahtarları kullanarak 300 milyon dolardan fazla Bitcoin'i doğrudan transfer etti ve çalınan fonları hızla farklı adreslere dağıttı. Bu saldırı, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik korumasında ciddi eksiklikler olduğunu ortaya koydu.

Borsa, zincir üzerindeki izleme ve fonları dondurma gibi yöntemlerle bilgisayar korsanlarını takip etmeye çalışsa da, çalınan Bitcoin'lerin dağıtık bir şekilde transfer edilmesi ve karıştırma araçları kullanılarak aklanması nedeniyle takip çalışmaları büyük zorluklarla karşı karşıya kalıyor. Yıl sonunda, Japon polisi bu olayın Kuzey Koreli bilgisayar korsanları grubu Lazarus Group tarafından planlandığını ve uygulandığını doğruladı.

2. PlayDapp: Özel anahtar sızıntısı 2.90 milyar dolar kayba neden oldu

9 Şubat 2024'te, PlayDapp büyük bir darbe aldı. Hackerlar özel anahtarları çalarak 2 milyar PLA tokeni basmayı başardı ve bunların başlangıç değeri 36.5 milyon dolardı. Proje ekibi ile hackerlar arasında yapılan müzakerelerin başarısız olması nedeniyle, hackerlar kısa bir süre içinde 15.9 milyar PLA tokeni daha basarak değerini 253.9 milyon dolara çıkardı. Bazı tokenler borsa işlemine girdikten sonra, PlayDapp PLA sözleşmesini durdurmak ve yeni bir token sözleşmesine geçmek zorunda kaldı. Bu olay, blok zinciri projelerinin özel anahtar koruma ve acil durum yönetimi konusundaki yetersizliklerini gözler önüne serdi.

3. Bir Hint Borsası: Sosyal Mühendislik Saldırısı 2.35 Milyar Dolar Zarar Verdi

2024 yılının 18 Temmuz'unda, Hindistan'ın en büyük kripto para borsasının Safe Wallet çoklu imza cüzdanı hedefli bir siber saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleriyle çoklu imza imzalayıcılarını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdanın içindeki tüm varlıkları transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yapılandırması ve işlem şeffaflığı konusundaki potansiyel risklerini ortaya koydu ve sektörde proje içi risk yönetimi ve güvenlik mekanizmaları üzerine derin bir düşünceye yol açtı.

4. Gala Games: Erişim Kontrolü Açığı 2.16 Milyar Dolar Kayıba Neden Oldu

2024'ün 20 Mayısında, Gala Games'in bir ayrıcalıklı adresi hackerlar tarafından saldırıya uğradı. Saldırgan, token sözleşmesindeki mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni bastı. Ardından, hacker bu tokenleri kademeli olarak ETH'ye çevirdi ve doğrudan 216 milyon dolarlık bir kayba neden oldu. Gala Games ekibi olaydan sonra acil olarak kara liste işlevini etkinleştirerek bazı hacker hesaplarını engelledi ve hukuki yollarla kayıplarının bir kısmını geri almaya çalıştı.

5. Ripple Kurucu Ortağı: Özel Anahtar Sızıntısı 1.12 Milyon XRP'nin Çalınmasına Neden Oldu

31 Ocak 2024'te, Ripple'ın kurucu ortaklarından birinin dört kişisel cüzdanı hackerlar tarafından saldırıya uğradı ve 112 milyon dolarlık XRP çalındı. Bu cüzdanlar, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi haline geldi. Olayın ardından, bir borsa 4.2 milyon dolarlık XRP'yi başarıyla dondurdu ve çalınan varlıkların izini sürmeye yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla aklandı.

6. Munchables: İçsel sızma saldırısı 62.5 milyon dolar kayba neden oldu

26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırganlar, blockchain geliştiricisi kılığına girmiş hackerlar, uzun süreli bir sızma ile ana kod ve hassas anahtarlara erişim sağladı. Saldırı büyük kayıplara yol açmasına rağmen, topluluğun ve ekibin baskısı altında, hackerlar sonunda çalınan tüm fonları geri iade etti. Bu olay, özellikle üçüncü taraf geliştirmelere bağımlı blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.

7. Bir Türk Borsası: Özel Anahtarın Sızması 55 Milyon Dolar Zarar Verdi

22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası özel anahtar sızıntısı saldırısına uğradı ve 55 milyon dolardan fazla kripto varlık kaybedildi. Bir borsa ekibinin yardımıyla, 5,3 milyon dolarlık çalıntı fon başarıyla donduruldu, ancak diğer varlıklar hala geri alınamadı. Bu olay, merkezi borsaların özel anahtar yönetimi konusundaki endişeleri artırdı.

8. Radiant Capital: Çoklu imza cüzdanının kırılması sonucu 53 milyon dolarlık zarar

17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı hackerlar tarafından saldırıya uğradı. Düşük eşik olan 3/11 imza doğrulama modelini kullandığı için, hackerlar 3 imza sahibinin özel anahtarlarını ele geçirerek, cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese aktaran zincir dışı imzalar başlattı ve sonuçta 53 milyon dolar çalındı. Bu saldırı, çoklu imza cüzdanı tasarımı ve yönetim mekanizmaları hakkında sektörde bir sorgulamaya yol açtı.

Dikkate değer bir husus, Radiant Capital'in bu saldırıdan önce sözleşme açığı nedeniyle 4.5 milyon dolar kaybetmesi ve 1900'den fazla ETH'nin çalınmasıdır. Bu, Web3 projelerinin güvenliğe olan önemini artırmaları gerektiğini bir kez daha göstermektedir.

9. Hedgey Finance: Sözleşme Açığı Nedeniyle 44.7 Milyon Dolar Zarar

19 Nisan 2024'te, Hedgey Finance birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum zincirlerindeki tokenleri başarıyla çıkardılar ve toplam kayıp miktarı 44.7 milyon dolara ulaştı. Bu olay, kod denetiminin önemini, özellikle token onay mantığının titiz bir şekilde doğrulanmasının gerekliliğini vurgulamaktadır.

10. Bir Ticaret Platformu: Sıcak Cüzdan Saldırısında 44.7 Milyon Dolar Kayıp

19 Eylül 2024'te, bir işlem platformunun sıcak cüzdanı hackerlar tarafından ihlal edildi, etkilenen zincirler arasında Ethereum, BNB Chain, Tron ve diğer birçok kamu zinciri bulunmaktadır. Borsa, varlık transferi ve çekim dondurma mekanizmasını hızla devreye sokmasına rağmen, hacker 44.7 milyon dolar değerinde varlıkları başarıyla çekti. Bu saldırı, merkezi işlem borsalarının sıcak cüzdan yönetiminin yüksek riskini yansıtır ve sektörü daha güvenli varlık depolama çözümleri keşfetmeye yönlendirir.

Sonuç

2024'te sıkça meydana gelen güvenlik saldırıları, blockchain sektörünün gelişiminin güvenli bir koruma olmadan olamayacağını bir kez daha hatırlatıyor. Özel anahtar sızıntısından akıllı sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerinin evrilmesine kadar, her bir olay derin dersler getirdi. Artan karmaşık saldırı tehditleriyle başa çıkmak için, sektör paydaşlarının teknoloji geliştirme, yönetim standartları ve risk yönetimi konularında sürekli yatırım yapmaları gerekiyor. Gelecekte, sektör işbirliği ve teknolojik yenilik yoluyla daha güvenli bir blockchain ekosistemi kurmayı ve kullanıcılar ile yatırımcılara daha güvenilir bir koruma sağlamayı umuyoruz.