Kripto Tarihindeki En Yıkıcı 5 Akıllı Sözleşme Açığı Nedir?

DAO saldırısı: $60 milyon Eter'in en büyük akıllı sözleşme zayıflığı

2016 yılında, kripto para dünyası, Ethereum üzerine inşa edilmiş merkeziyetsiz otonom bir organizasyon olan DAO'nun yıkıcı bir hack girişimine maruz kaldığı en önemli güvenlik ihlallerinden birine tanıklık etti. Saldırgan, akıllı sözleşme kodundaki kritik bir açığı istismar ederek, yaklaşık $60 milyon değerinde eteri ayrı bir wallet'ye boşaltmayı başardı. Bu güvenlik ihlali, DAO'nun token satışı aracılığıyla $150 milyonun üzerinde yatırım fonu toplamasına rağmen gerçekleşti.

Saldırı, sistemin hesap bakiyelerini düzgün bir şekilde güncelleyemeden hacker'ın fonları tekrarlı olarak çekmesine izin veren bir özyinelemeli çağrı zafiyetini kullandı. Bu saldırıyı özellikle dikkat çekici kılan şey, akıllı sözleşme içinde herhangi bir açık kuralı ihlal etmemiş olmasıydı; yalnızca kod mantığındaki fark edilmemiş bir özelliği istismar etti.

Olay, Ethereum topluluğu içinde "kod yasadır" diyenler ile müdahale yanlısı olanlar arasında felsefi bir bölünme yarattı. Bu kriz, çalınan fonları kurtarmak için Ethereum blok zincirinin tartışmalı bir hard fork'una yol açtı ve Ethereum Classic (orijinal zincir) ve Ethereum (forked zincir) oluşturdu. DAO hack'i, geliştiricilerin akıllı sözleşme güvenliğine yaklaşımını köklü bir şekilde değiştirdi ve önemli mali varlıkları yöneten kodu dağıtmadan önce kapsamlı denetim ve test ihtiyacını vurguladı.

Parity cüzdanı donması: $300 milyon, bir kod hatası nedeniyle kilitlendi

2017 yılında, kripto para dünyası "devops199" olarak bilinen bir geliştiricinin Parity çoklu imza cüzdan kütüphanesinde kritik bir güvenlik açığını yanlışlıkla tetiklemesiyle en önemli akıllı sözleşme başarısızlıklarından birine tanık oldu. Bu olay, yaklaşık $300 milyon değerinde Ethereum'un kalıcı olarak kilitlenmesine ve sahiplerine erişilemez hale gelmesine neden oldu. Felaket olayı, devops199'un initWallet fonksiyonunu çağırdığı 8 Kasım'da gerçekleşti ve bu durum birçok çoklu imza cüzdanını destekleyen kütüphane sözleşmesinin mülkiyetini yanlışlıkla almasına yol açtı.

| Parity Cüzdan Olayı Ayrıntıları | Bilgi | |-------------------------------|-------------| | Olayın tarihi | 8 Kasım 2017 | | Bekletilen Miktar | $300 milyon Eter | | Etkilenen cüzdanlar | 500'den fazla çoklu imza cüzdanı | | Sebep | Kütüphane sözleşmesindeki kod zafiyeti | | Eylemi tetikle | Kullanıcı "devops199" initWallet fonksiyonunu çağırıyor |

Bu olayın özellikle endişe verici olmasının nedeni, Parity Technologies'in bu zafiyet hakkında aylar önce uyarılmış olmasıdır. Bir GitHub kullanıcısı, Ağustos ayında hatayı tespit edip bildirmiş, ancak şirket gerekli düzeltmeleri uygulamamıştır. Orijinal kod, Ethereum Foundation'ın Geliştirici ekibi ve Parity Technologies tarafından oluşturulmuş ve denetlenmiş olmasına rağmen, bu kritik zafiyet göz ardı edilmiş, bu da kapsamlı bir şekilde incelenmiş akıllı sözleşmelerin bile blockchain teknolojisinde geri dönüşü olmayan sonuçlarla yıkıcı hatalar içerebileceğini göstermiştir.

Poly Network istismarı: $610 milyon çarpraz zincir DeFi hack'inde çalındı

Merkeziyetsiz finans tarihindeki en önemli güvenlik ihlallerinden birinde, hackerlar Poly Network'e karmaşık bir saldırı düzenleyerek yaklaşık $610 milyon dijital varlık çalmayı başardılar. Bu 2021 olayı, daha önceki yıllarda diğer borsalarda kaydedilen büyük ihlallerle kıyaslanabilecek en büyük kripto para çalıntılarından biri olarak sıralanıyor.

Hackerlar, Poly Network'ün çapraz zincir protokolündeki bir açığı kullanarak, Ether dahil olmak üzere binlerce dijital token'ı kontrol ettikleri ayrı kripto para cüzdanlarına transfer etmelerine olanak tanıdı. Bu saldırının ölçeği, DeFi altyapısındaki kritik güvenlik zayıflıklarını vurguladı.

| Açı | Ayrıntılar | |--------|---------| | Çalınan Miktar | $610 milyon | | Kurtarma Durumu | %100 (tamamlandı) | | Kurtarma Zaman Çizelgesi | 13 gün | | Tarihsel Bağlam | Tarihteki en büyük DeFi hackleri arasında |

Bu durumu özellikle alışılmadık kılan şey, nihai sonuçtu. İhlalin ardından, Poly Network, hackerları "beyaz şapkalı" olarak adlandırdı; bu tartışmalı bir tanım, güvenlik topluluğu içinde tartışmalara yol açtı. Bu terminoloji, güvenlik araştırması kisvesi altında suç faaliyetlerini meşrulaştırabileceğinden endişe duyan uzmanları rahatsız etti. İlk endişelere rağmen, hackerlar nihayetinde çalınan tüm varlıkları geri döndürdü; son fonlar, hackerın kalan $268 milyonun erişim anahtarını paylaştığında serbest bırakıldı.

Pump.fun saldırısı: 1.9 milyon $ hırsızlık, iç güvenlik risklerini vurguluyor

Pump.fun platformı, 2023 yılında eski bir çalışanın sistem ayrıcalıklarını kötüye kullanması sonucu yaklaşık 1.9 milyon $ değerinde SOL token'ın çalındığı önemli bir güvenlik ihlali ile karşılaştı. Bu içeriden yapılan saldırı, 16 Mayıs'ta UTC ile 15:21 ile 17:00 arasında gerçekleşti ve fail, token likiditesini "bonding curve" saldırısı olarak tanımlanan bir yöntemle manipüle etmek için flash krediler kullandı. Olay, platformun varlıklarının yalnızca bir kısmını etkiledi, çünkü çalınan miktar, Pump.fun'ın bonding curve sözleşmelerindeki toplam $45 milyonun sadece bir kısmını temsil ediyordu.

Saldırının ardından, Pump.fun hızla geliştirilmiş güvenlik önlemleri ve net bir kurtarma planı ile yanıt verdi. Platform, kullanıcılarına akıllı sözleşmelerinin güvende olduğunu garanti etti ve etkilenen kullanıcılara "24 saat içinde likiditenin %100'ünü" sağlayarak, onları eski hallerine döndürme taahhüdünde bulundu. Ayrıca, Pump.fun kullanıcı kayıplarını azaltmak için bir sonraki hafta boyunca işlem ücretlerini %0 olarak belirledi.

Sonrası, iddia edilen fail Jarret Dunn'un Birleşik Krallık'ta bu istismarla bağlantılı olarak tutuklanmasıyla hukuki sonuçlar doğurdu. Bu vaka, dahili tehditlerin, Solana gibi güvenli blok zinciri temelleri üzerine inşa edilmiş olanlar da dahil olmak üzere, kripto para platformlarına önemli riskler oluşturabileceğini hatırlatıcı bir örnek teşkil etmektedir.