Blok Zinciri Güvenlik Uyarısı: Akıllı Sözleşmelerin Yetkilendirilmesi İki Uçlu Kılıç

Kripto para ve blok zinciri teknolojisi, finansal özgürlüğün tanımını yeniden şekillendiriyor, ancak bu devrim yeni riskler de getiriyor. Dolandırıcılar artık yalnızca teknik açıkları kullanmakla sınırlı kalmıyor, aynı zamanda blok zinciri akıllı sözleşme protokollerini saldırı aracı olarak dönüştürüyorlar. Kullanıcıların güvenini, blok zincirinin şeffaflığı ve geri alınamazlığından yararlanarak varlık hırsızlığına dönüştüren, dikkatlice tasarlanmış sosyal mühendislik tuzakları kullanıyorlar. Sahte akıllı sözleşmelerden, çapraz zincir işlemlerinin manipülasyonuna kadar bu saldırılar yalnızca gizli kalmakla kalmıyor, aynı zamanda "meşrulaştırılmış" dış görünüşleri nedeniyle daha güçlü bir aldatıcılık sergiliyor. Bu makale, dolandırıcıların protokolleri nasıl saldırı araçlarına dönüştürdüğünü ortaya koyan gerçek vakalarla analiz edecek ve kullanıcıların merkeziyetsiz dünyada güvenli bir şekilde ilerlemelerine yardımcı olmak için teknik korumadan davranış önlemeye kadar kapsamlı çözümler sunacaktır.

Bir, Yasal Sözleşmeler Nasıl Dolandırıcılık Araçlarına Dönüşür?

Blok Zinciri protokollerinin amacı güvenlik ve güveni sağlamaktır, ancak dolandırıcılar bu özellikleri kullanarak, kullanıcıların dikkatsizliği ile bir araya getirerek çeşitli gizli saldırı yöntemleri geliştirmiştir. Aşağıda bazı yaygın teknikler ve teknik detayları bulunmaktadır:

(1) Kötü niyetli akıllı sözleşmeler yetkilendirmesi

Teknik Prensip:

Ethereum gibi blok zincirlerinde, ERC-20 token standardı, kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü taraflara (genellikle akıllı sözleşmeler) cüzdanlarından belirli miktarda token çekme yetkisi vermesine olanak tanır. Bu işlev, DeFi protokollerinde yaygın olarak kullanılmakta olup, kullanıcıların işlemleri, staking veya likidite madenciliği gerçekleştirmek için akıllı sözleşmelere yetki vermesi gerekmektedir. Ancak, dolandırıcılar bu mekanizmayı kötü niyetli sözleşmeler tasarlamak için kullanmaktadır.

Çalışma Şekli:

Dolandırıcılar, genellikle bir kimlik avı web sitesi veya sosyal medya aracılığıyla tanıtılan yasal bir projeye benzeyen bir DApp oluşturur. Kullanıcı cüzdanını bağlar ve "Onayla"ya tıklamaya ikna edilir, görünüşte az miktarda token yetkilendirmektedir, aslında sınırsız limit (uint256.max değeri) olabilir. Yetkilendirme tamamlandığında, dolandırıcıların akıllı sözleşme adresi yetki kazanır ve istediği zaman "TransferFrom" fonksiyonunu çağırarak kullanıcı cüzdanından tüm ilgili tokenleri çekebilir.

Gerçek Vaka:

2023 yılının başında, "Uniswap V3 yükseltmesi" olarak gizlenen bir kimlik avı sitesi yüzlerce kullanıcının milyonlarca dolar USDT ve ETH kaybetmesine neden oldu. Zincir üzerindeki veriler, bu işlemlerin tamamen ERC-20 standardına uygun olduğunu gösteriyor, mağdurlar yasal yollarla geri alamıyor çünkü yetki gönüllü olarak imzalanmış.

(2) İmza Phishing

Teknik Prensip:

Blok Zinciri işlemleri, kullanıcıların işlemin yasallığını kanıtlamak için özel anahtar kullanarak imza oluşturmasını gerektirir. Cüzdan genellikle imza talebini gösterir, kullanıcı onayladıktan sonra işlem ağa yayınlanır. Dolandırıcılar bu süreci kullanarak imza taleplerini sahteleyip varlıkları çalmaktadır.

Çalışma Şekli:

Kullanıcı, "NFT airdrop'unuzu almak için lütfen cüzdanınızı doğrulayın" gibi resmi bir bildirim olarak gizlenmiş bir e-posta veya mesaj alır. Bağlantıya tıkladığında, kullanıcı kötü niyetli bir web sitesine yönlendirilir ve cüzdanı bağlaması ve "doğrulama işlemi" için bir imza vermesi istenir. Bu işlem aslında, cüzdanındaki ETH veya token'ları dolandırıcı adresine doğrudan aktaran "Transfer" fonksiyonunu çağırıyor olabilir; ya da dolandırıcının kullanıcının NFT koleksiyonunu kontrol etmesine izin veren bir "SetApprovalForAll" işlemi olabilir.

**Gerçek Vaka: **

Bir ünlü NFT projesi topluluğu, imza phishing saldırısına maruz kaldı. Birçok kullanıcı, sahte "havale alma" işlemini imzalayarak milyonlarca dolar değerinde NFT kaybetti. Saldırganlar, EIP-712 imza standartlarını kullanarak görünüşte güvenli talepler sahteledi.

(3) Sahte tokenler ve "toz saldırısı"

Teknik Prensip:

Blok Zinciri'nin açıklığı, herhangi birinin herhangi bir adrese token göndermesine olanak tanır, bu durumda alıcı aktif olarak talep etmemiş olsa bile. Dolandırıcılar bunu kullanarak, birçok cüzdan adresine az miktarda kripto para gönderir, cüzdanın faaliyetlerini izler ve cüzdanı sahiplenen birey veya şirketle ilişkilendirir.

Çalışma Şekli:

Saldırganlar, farklı adreslere küçük miktarlarda kripto para gönderir ve hangi adreslerin aynı cüzdana ait olduğunu bulmaya çalışırlar. Çoğu durumda, bu "toz" kullanıcı cüzdanlarına airdrop şeklinde dağıtılır ve cazip isimler veya meta veriler içerebilir. Kullanıcılar, bu tokenleri nakite çevirmeye çalışabilir, böylece saldırganlar tokenlerin yanındaki sözleşme adresi aracılığıyla kullanıcı cüzdanına erişim sağlar. Daha gizli olarak, saldırganlar sosyal mühendislik yoluyla kullanıcıların sonraki işlemlerini analiz ederek, kullanıcıların aktif cüzdan adreslerini belirler ve daha hassas dolandırıcılık gerçekleştirirler.

Gerçek Örnekler:

Ethereum ağı üzerinde "GAS token" toz saldırısı meydana geldi, bu da binlerce cüzdanı etkiledi. Bazı kullanıcılar merak nedeniyle etkileşime girdi ve ETH ile ERC-20 token kaybetti.

İki, bu dolandırıcılıklar neden tespit edilmesi zor?

Bu dolandırıcılıkların başarılı olmasının büyük bir nedeni, Blok Zinciri'nin meşru mekanizmaları içinde gizlenmiş olmaları ve sıradan kullanıcıların kötü niyetli doğasını ayırt etmenin zor olmasıdır. İşte birkaç ana neden:

• Teknik karmaşıklık: Akıllı sözleşmelerin kodu ve imza talepleri, teknik olmayan kullanıcılar için karmaşık ve anlaşılması zor olabilir. Örneğin, bir "Approve" talebi, kullanıcıların anlamını doğrudan kavrayamayacağı bir dizi onaltılık veri olarak görünebilir.

• Zincir Üzerinde Yasal Durum: Tüm işlemler Blok Zinciri üzerinde kaydedilir, görünüşte şeffafdır, ancak mağdurlar genellikle yetkilendirme veya imzanın sonuçlarını sonradan fark eder ve bu noktada varlıklar geri alınamaz.

• Sosyal Mühendislik: Dolandırıcılar, insan doğasının zayıf noktalarını kullanır, örneğin açgözlülük, korku veya güven. Örneğin, "ücretsiz büyük miktarda token alma" vaadi veya "hesapta anormal durum tespiti için doğrulama gerekli" iddiaları.

• Karmaşık Kılık Değiştirme: Phishing siteleri, resmi alan adıyla son derece benzer URL'ler kullanabilir ve hatta güvenilirliği artırmak için HTTPS sertifikası da edinebilir.

Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?

Bu teknik ve psikolojik savaşların bir arada bulunduğu dolandırıcılıklara karşı, varlıkları korumak için çok katmanlı stratejilere ihtiyaç vardır. İşte detaylı önleme tedbirleri:

Yetki izinlerini kontrol et ve yönet

• Cüzdanın yetkilendirme kayıtlarını düzenli olarak kontrol etmek için Blok Zinciri tarayıcısının yetkilendirme kontrol aracını kullanın.
• Gereksiz yetkileri iptal edin, özellikle bilinmeyen adreslere verilen sınırsız yetkileri.
• Her yetkilendirmeden önce, DApp'in güvenilir bir kaynaktan geldiğinden emin olun.
• "Allowance" değerini kontrol edin, eğer "sonsuz" ise (örneğin 2^256-1), derhal iptal edilmelidir.

Bağlantıyı ve kaynağı doğrulayın

• Resmi URL'yi manuel olarak girin, sosyal medya veya e-postalardaki bağlantılara tıklamaktan kaçının.
• Web sitesinin doğru alan adı ve SSL sertifikası kullandığından emin olun.
• Yazım hatalarına veya fazla karakterlere dikkat edin.

soğuk cüzdan ve çoklu imza kullanımı

• Çoğu varlığı donanım cüzdanında saklayın, yalnızca gerekli olduğunda ağa bağlayın.
• Büyük miktardaki varlıklar için, birden fazla anahtarın işlemi onaylamasını gerektiren çoklu imza araçları kullanın.
• Sıcak cüzdan kırılmasına rağmen, soğuk depolama varlıkları güvenli kalabilir.

İmza taleplerini dikkatli işleyin

• Her seferinde imza atarken, cüzdan penceresinde yer alan işlem detaylarını dikkatlice okuyun.
• İmza içeriğini analiz etmek için blok zinciri tarayıcısının kod çözme işlevini kullanın veya teknik uzmanla danışın.
• Yüksek riskli işlemler için bağımsız cüzdan oluşturun, yalnızca az miktarda varlık saklayın.

Toz saldırılarına karşı

• Bilinmeyen tokenler aldığınızda, onlarla etkileşime geçmeyin. Onları "çöp" olarak işaretleyin veya gizleyin.
• Token kaynağını blok zinciri tarayıcısı aracılığıyla doğrulayın, eğer toplu gönderimse, yüksek derecede dikkatli olun.
• Cüzdan adresini halka açık olarak paylaşmaktan kaçının veya hassas işlemler için yeni bir adres kullanın.

Sonuç

Yukarıda belirtilen güvenlik önlemlerinin uygulanması, yüksek düzeyde dolandırıcılık planlarının mağduru olma riskini önemli ölçüde azaltabilir, ancak gerçek güvenlik yalnızca teknolojiye dayanmaz. Donanım cüzdanları fiziksel bir savunma hattı oluşturduğunda ve çoklu imzalar risk maruziyetini dağıttığında, kullanıcıların yetkilendirme mantığını anlama düzeyleri ve zincir üzerindeki davranışlara dikkat etmeleri, saldırılara karşı son savunma hattını oluşturur. Her imzadan önceki veri analizi ve her yetkilendirmeden sonraki yetki incelemesi, kendi dijital egemenliğine bir yemin niteliğindedir.

Gelecekte, teknoloji ne kadar evrim geçirse de, en temel savunma hattı her zaman şurada yatmaktadır: güvenlik bilincini kas hafızası haline getirmek, güven ve doğrulama arasında kalıcı bir denge kurmaktır. Kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak kaydedilir ve değiştirilemez. Bu yüzden, dikkatli olmak ve temkinli davranmak son derece önemlidir.