Web3 Güvenlik Olayı Analizi: Bir ticaret platformunun Soğuk Cüzdanı büyük bir saldırıya uğradı
2025年2月21日,一家知名交易 platform 的 Ethereum Soğuk Cüzdan saldırıya uğradı, yaklaşık 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH ve 90 USDT bilinmeyen bir adrese aktarıldı, toplam değeri yaklaşık 14.6 milyar dolar.
Saldırganlar, bu platformun çoklu imza Cüzdan imzacılarının kötü niyetli işlemleri imzalaması için oltalama yöntemleri kullanarak kandırdı. Saldırı adımları şu şekildedir:
Saldırgan, para transferi arka kapısı içeren kötü niyetli bir sözleşmeyi önceden dağıtır.
Güvenlik yönetim arayüzünü değiştirmek, imzalayıcının gördüğü işlem bilgilerini gerçek donanım cüzdanına gönderilen verilerle uyumsuz hale getirmek.
Sahte bir arayüz kullanarak üç geçerli imza alın, çoklu imza cüzdanının uygulama sözleşmesini kötü niyetli bir sürümle değiştirin ve böylece soğuk cüzdanı kontrol edin ve fonları transfer edin.
Görevli olarak delil araştırması yapan güvenlik şirketi şu anda şunu buldu:
Güvenlik yönetim platformunun bulut depolama alanında, kaynaklara kötü niyetli JavaScript kodu enjekte edildi.
Kod analizi, ana amacının imza sürecinde işlem içeriğini manipüle etmek olduğunu göstermektedir.
Kötü niyetli kodun etkinleştirilmesi için belirli koşullar vardır, yalnızca belirli bir sözleşme adresinde tetiklenir.
Kötü niyetli işlemler gerçekleştirildikten sonra, güncellenmiş sürümdeki JavaScript kaynakları yüklendi, kötü niyetli kod silindi.
İlk değerlendirmeye göre saldırı, güvenlik yönetim platformunun bulut altyapısından kaynaklanmaktadır.
Şu anda bu ticaret platformunun kendi altyapısının ihlal edildiğine dair bir belirti bulunmamaktadır.
Mevcut bilgilere göre, ön yüz ana sorun değil, asıl sorun bulut depolama hizmetinin saldırıya uğraması ve JavaScript'in değiştirilmesidir. Ancak, eğer güvenlik yönetim platformunun ön yüzünde temel bir bütünlük doğrulaması uygulanmış olsaydı, JavaScript değiştirildiğinde bile bu kadar ciddi sonuçlar ortaya çıkmazdı. Elbette, işlem platformları da suçsuz değil; donanım cüzdanı belirli işlem bilgilerini göstermediği halde onay verdiler ve güvenlik yönetim platformunun ön yüzüne duyulan güvenin kendisi bir risk taşımaktadır.
Donanım cüzdanlarının karmaşık işlemleri işlerken sınırlamaları vardır, çoklu imza cüzdanlarının ayrıntılı işlem verilerini tam olarak analiz edemediği ve gösteremediği için, imzacıların işlem içeriğini tam olarak doğrulamadan "kör imza" yapmalarına neden olur.
Hacker'lar, kullanıcı varlıklarını çalmak için etkileşim sürecinin tasarım hatalarını kullanma konusunda uzmandır. Örneğin UI ele geçirme, yanıltıcı imza, kör imza kullanma, Permit imzasını kötüye kullanma, TransferFrom sıfır transferiyle oltalama, son numarası aynı olan airdrop dolandırıcılığı, NFT oltalama gibi yöntemler.
Web3 teknolojisinin gelişimiyle birlikte, ön yüz güvenliği ile blok zinciri güvenliği arasındaki sınırlar giderek belirsizleşiyor. Geleneksel ön yüz açıkları, Web3 senaryolarında yeni saldırı boyutları kazandırıyor; akıllı sözleşme açıkları, özel anahtar yönetimindeki eksiklikler gibi sorunlar riski daha da büyütüyor.
İşlem Parametreleri Değişikliği: Arayüzde Transfer Gösterimi, Gerçekten Yetkilendirme Uygulaması
Kullanıcı cüzdan penceresinde "0xUser... adresine 1 ETH transfer et" ifadesini görüyor, ancak aslında zincir üzerinde "approve( saldırgan, unlimited)" işlemi gerçekleştiriliyor, varlıklar her an transfer edilebilir.
Çözüm: EIP-712 yapılandırılmış imza doğrulama
Ön uçta doğrulanabilir veriler oluşturma
Akıllı sözleşme imzasını doğrulama
Böylece, herhangi bir ön uç parametre değişikliği imzanın uyuşmamasına neden olacak ve işlem otomatik olarak geri alınacaktır.
Kör İmza Kaçırma: Donanım Cüzdanının Kırılma Nedenleri
Saldırgan, ön uç kodunu ele geçirip, donanım cüzdanına sahte calldata gönderebilir. Donanım cüzdanının ekranında normal işlem bilgileri görünür, ancak gerçekten gerçekleştirilen "approve(attacker, unlimited)".
Çözüm: Donanım Cüzdanı anlamsal çözümleme + Zincir üstü ikinci doğrulama
Donanım cüzdanı yazılımını EIP-712 desteği ile güncelle
Zincir üstü zorunlu anlam eşleştirme
Sonuç
Ön uç güvenliği ile Web3 güvenliğinin birleşimi hem bir zorluk hem de bir fırsattır. Bu olay, kripto para endüstrisinin güvenlik yönetimi ve teknik mimarisi üzerindeki derin sorunları ortaya çıkardı. Sektör, cihaz güvenliği, işlem doğrulama ve risk kontrol mekanizmaları gibi birçok alanda koruma yeteneklerini kapsamlı bir şekilde artırmalıdır, böylece giderek karmaşıklaşan tehditlere karşı koyabilir. Ön uç geliştirme, DApp'e erişim, cüzdan bağlantısı, mesaj imzalama, işlem imzalama, işlem sonrası işleme gibi aşamalarda tekrar tekrar doğrulama yapmalı ve "pasif onarım"dan "aktif bağışıklık" aşamasına geçiş sağlamalıdır. Ancak bu şekilde, Web3'ün açık dünyasında her bir işlemin değerini ve güvenini koruyabiliriz.
Elbette, zincir üzerindeki sözleşmelerin güvenlik denetimi her Dapp için vazgeçilmezdir. AI destekli güvenlik tarama araçları, biçimsel doğrulama ve yapay zeka destekli güvenlik standartları aracılığıyla kodun doğruluğunu sağlamaya, çok sayıda dağıtım sözleşmesinin kod benzerliği ve fikri mülkiyet riski analizini yapmaya, 7/24 izleme yapmaya ve projeyi etkileyebilecek sıfırıncı gün açıkları ve güvenlik olayları hakkında anında bildirim sağlamaya olanak tanır. Bazı araçlar ayrıca, akıllı sözleşmelerdeki çeşitli gerçek açıkları tespit etmek için büyük ölçekli açık veri tabanlarıyla optimize edilmiş AI modellerine sahiptir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
6
Share
Comment
0/400
GameFiCritic
· 17h ago
Yine bir ön uç saldırısı. Veri görünürlüğü doğrulaması hala iyi yapılmadı.
View OriginalReply0
MidnightSeller
· 17h ago
Bir başka kara, gerçekten ilginç.
View OriginalReply0
AirdropHuntress
· 17h ago
On dört imza tuzağa düştü, zekâ vergisi işte.
View OriginalReply0
quiet_lurker
· 17h ago
Güvenlik sorunları her zaman büyük bir zorluktur!
View OriginalReply0
BoredApeResistance
· 17h ago
Yine Emiciler Tarafından Oyuna Getirilmek oldum, Web3 ne oldu?
Web3交易平台遭14.6亿美元Soğuk Cüzdan攻击 Ön yüz güvenliği odak noktası oldu
Web3 Güvenlik Olayı Analizi: Bir ticaret platformunun Soğuk Cüzdanı büyük bir saldırıya uğradı
2025年2月21日,一家知名交易 platform 的 Ethereum Soğuk Cüzdan saldırıya uğradı, yaklaşık 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH ve 90 USDT bilinmeyen bir adrese aktarıldı, toplam değeri yaklaşık 14.6 milyar dolar.
Saldırganlar, bu platformun çoklu imza Cüzdan imzacılarının kötü niyetli işlemleri imzalaması için oltalama yöntemleri kullanarak kandırdı. Saldırı adımları şu şekildedir:
Görevli olarak delil araştırması yapan güvenlik şirketi şu anda şunu buldu:
Mevcut bilgilere göre, ön yüz ana sorun değil, asıl sorun bulut depolama hizmetinin saldırıya uğraması ve JavaScript'in değiştirilmesidir. Ancak, eğer güvenlik yönetim platformunun ön yüzünde temel bir bütünlük doğrulaması uygulanmış olsaydı, JavaScript değiştirildiğinde bile bu kadar ciddi sonuçlar ortaya çıkmazdı. Elbette, işlem platformları da suçsuz değil; donanım cüzdanı belirli işlem bilgilerini göstermediği halde onay verdiler ve güvenlik yönetim platformunun ön yüzüne duyulan güvenin kendisi bir risk taşımaktadır.
Donanım cüzdanlarının karmaşık işlemleri işlerken sınırlamaları vardır, çoklu imza cüzdanlarının ayrıntılı işlem verilerini tam olarak analiz edemediği ve gösteremediği için, imzacıların işlem içeriğini tam olarak doğrulamadan "kör imza" yapmalarına neden olur.
Hacker'lar, kullanıcı varlıklarını çalmak için etkileşim sürecinin tasarım hatalarını kullanma konusunda uzmandır. Örneğin UI ele geçirme, yanıltıcı imza, kör imza kullanma, Permit imzasını kötüye kullanma, TransferFrom sıfır transferiyle oltalama, son numarası aynı olan airdrop dolandırıcılığı, NFT oltalama gibi yöntemler.
Web3 teknolojisinin gelişimiyle birlikte, ön yüz güvenliği ile blok zinciri güvenliği arasındaki sınırlar giderek belirsizleşiyor. Geleneksel ön yüz açıkları, Web3 senaryolarında yeni saldırı boyutları kazandırıyor; akıllı sözleşme açıkları, özel anahtar yönetimindeki eksiklikler gibi sorunlar riski daha da büyütüyor.
İşlem Parametreleri Değişikliği: Arayüzde Transfer Gösterimi, Gerçekten Yetkilendirme Uygulaması
Kullanıcı cüzdan penceresinde "0xUser... adresine 1 ETH transfer et" ifadesini görüyor, ancak aslında zincir üzerinde "approve( saldırgan, unlimited)" işlemi gerçekleştiriliyor, varlıklar her an transfer edilebilir.
Çözüm: EIP-712 yapılandırılmış imza doğrulama
Böylece, herhangi bir ön uç parametre değişikliği imzanın uyuşmamasına neden olacak ve işlem otomatik olarak geri alınacaktır.
Kör İmza Kaçırma: Donanım Cüzdanının Kırılma Nedenleri
Saldırgan, ön uç kodunu ele geçirip, donanım cüzdanına sahte calldata gönderebilir. Donanım cüzdanının ekranında normal işlem bilgileri görünür, ancak gerçekten gerçekleştirilen "approve(attacker, unlimited)".
Çözüm: Donanım Cüzdanı anlamsal çözümleme + Zincir üstü ikinci doğrulama
Sonuç
Ön uç güvenliği ile Web3 güvenliğinin birleşimi hem bir zorluk hem de bir fırsattır. Bu olay, kripto para endüstrisinin güvenlik yönetimi ve teknik mimarisi üzerindeki derin sorunları ortaya çıkardı. Sektör, cihaz güvenliği, işlem doğrulama ve risk kontrol mekanizmaları gibi birçok alanda koruma yeteneklerini kapsamlı bir şekilde artırmalıdır, böylece giderek karmaşıklaşan tehditlere karşı koyabilir. Ön uç geliştirme, DApp'e erişim, cüzdan bağlantısı, mesaj imzalama, işlem imzalama, işlem sonrası işleme gibi aşamalarda tekrar tekrar doğrulama yapmalı ve "pasif onarım"dan "aktif bağışıklık" aşamasına geçiş sağlamalıdır. Ancak bu şekilde, Web3'ün açık dünyasında her bir işlemin değerini ve güvenini koruyabiliriz.
Elbette, zincir üzerindeki sözleşmelerin güvenlik denetimi her Dapp için vazgeçilmezdir. AI destekli güvenlik tarama araçları, biçimsel doğrulama ve yapay zeka destekli güvenlik standartları aracılığıyla kodun doğruluğunu sağlamaya, çok sayıda dağıtım sözleşmesinin kod benzerliği ve fikri mülkiyet riski analizini yapmaya, 7/24 izleme yapmaya ve projeyi etkileyebilecek sıfırıncı gün açıkları ve güvenlik olayları hakkında anında bildirim sağlamaya olanak tanır. Bazı araçlar ayrıca, akıllı sözleşmelerdeki çeşitli gerçek açıkları tespit etmek için büyük ölçekli açık veri tabanlarıyla optimize edilmiş AI modellerine sahiptir.