2024 Web3 Alanındaki En İyi 10 Güvenlik Olayı İncelemesi

2024 yılında, blok zinciri sektörü yenilikçi gelişmelerin yanı sıra giderek artan güvenlik tehditleriyle de karşı karşıya kalmaktadır. Veri platformları tarafından yapılan istatistiklere göre, 2024 yılında Web3 alanında siber saldırılar, dolandırıcılıklar ve proje sahiplerinin kaybolması gibi nedenlerle toplam kayıplar 24.91 milyar dolara ulaşmaktadır.

Bu olaylar yalnızca özel anahtar yönetimi, akıllı sözleşmeler gibi teknik alanlardaki açıkları ortaya çıkarmakla kalmadı, aynı zamanda sosyal mühendislik ve iç yönetim gibi alanlardaki potansiyel riskleri de vurguladı. Bu makalede, 2024 Web3 alanındaki en büyük on güvenlik olayını derleyeceğiz, böylece sektör ders alarak gelecekteki güvenlik tehditlerine daha iyi yanıt verebilir.

1. Bir Japon kripto para borsası büyük bir saldırıya uğradı

Kayıp Tutarı: 304 milyon ABD Doları Saldırı yöntemi: Özel anahtar sızıntısı

31 Mayıs 2024'te, Japonya'nın tanınmış bir kripto para borsası tarihi bir saldırıya uğradı. Saldırganlar, sızdırılan özel anahtarları kullanarak 300 milyon doların üzerinde Bitcoin'i doğrudan transfer etti ve çalınan fonları hızla 10'dan fazla farklı adrese dağıttı. Bu olay, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik koruması konusundaki ciddi eksikliklerini ortaya çıkardı. Borsa, saldırganı takip etmek için zincir üstü izleme ve fonları dondurma yoluyla çabalar gösterse de, çalınan Bitcoin'lerin dağıtılarak transfer edilmesi ve karıştırma araçlarıyla aklanması nedeniyle izleme çalışmaları büyük zorluklarla karşılaştı.

24 Aralık'ta, Japon polisi olayın uluslararası bir hacker örgütü tarafından gerçekleştirildiğini doğruladı.

2. PlayDapp ağır bir darbe aldı

Zarar Miktarı: 290 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı

9 Şubat 2024'te, PlayDapp büyük bir darbe aldı. Bir hacker, özel anahtarı çalarak 2 milyar PLA tokeni üretti ve bunların başlangıç değeri 36.5 milyon dolardı. Proje ekibi hacker ile müzakereleri başarısızlıkla sonuçlanınca, hacker kısa süre içinde 15.9 milyar PLA tokeni daha üretti ve bunların değeri 253.9 milyon dolara ulaştı. Bazı tokenler borsa işlemine girdiğinde, PlayDapp PLA sözleşmesini askıya almak ve yeni bir token sözleşmesine geçmek zorunda kaldı. Bu olay, blockchain projelerinin özel anahtar koruma ve acil durum yönetimi konusundaki eksikliklerini gözler önüne serdi.

3. Hindistan'ın en büyük kripto para borsası saldırıya uğradı

Zarar Tutarı: 235 milyon ABD doları Saldırı türleri: Ağ saldırıları ve oltalama

18 Temmuz 2024'te, Hindistan'ın en büyük kripto para borsası olan Safe Wallet'ın çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleriyle çoklu imza imzacılarını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki varlıkları boşalttı. Bu olay, çoklu imza cüzdanlarının yetki yapılandırması ve işlem şeffaflığı konusunda potansiyel riskleri ortaya çıkardı ve sektörde proje içi risk kontrolü ve güvenlik mekanizmaları üzerine derin bir düşünce katmanı oluşturdu.

4. Gala Games Büyük Ölçekli Saldırıya Uğradı

Zarar Miktarı: 2.16 Milyar Dolar Saldırı Yöntemi: Erişim Kontrol Açığı

20 Mayıs 2024'te, Gala Games'in bir ayrıcalıklı adresi hackerlar tarafından saldırıya uğradı. Saldırganlar, token sözleşmesindeki mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni bastılar. Ardından, hackerlar artırılan tokenleri parça parça ETH'ye dönüştürdü ve doğrudan 216 milyon dolarlık bir kayba neden oldu. Gala Games ekibi, olayın ardından acil olarak kara listeleme işlevini etkinleştirerek bazı hacker hesaplarını kapattı ve hukuki yollarla kayıplarının bir kısmını geri almaya çalıştı.

5. Tanınmış bir blockchain projesinin kurucu ortağı saldırıya uğradı

Zarar Miktarı: 1.12 Milyar Dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı

2024 yılının 31 Ocak'ında, tanınmış bir blockchain projesinin ortak kurucusuna ait dört kişisel cüzdan, bir hacker tarafından ele geçirildi ve 112 milyon dolarlık kripto para çalındı. Bu cüzdanların, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi olduğu düşünülüyor. Olaydan sonra, büyük bir borsa çalınan varlıkların 4.2 milyon dolarlık kısmını başarıyla dondurdu ve izleme konusunda yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla aklandı.

6. Munchables İçsel Sızma ile Karşılaşıyor

Zarar Miktarı: 62,5 milyon dolar Saldırı Yöntemi: Sosyal Mühendislik Saldırısı

26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına maruz kaldı. Saldırganlar, blockchain geliştiricisi olarak kılık değiştirerek, uzun süre gizlice kalarak çekirdek kodu ve hassas anahtarlara erişim sağladılar. Büyük kayıplara neden olmasına rağmen, topluluk ve ekip baskısı altında, hackerlar sonunda çalınan tüm fonları geri verdi. Bu olay, üçüncü taraf geliştirmeye bağımlı blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.

7. Türkiye Kripto Para Borsası Saldırıya Uğradı

Zarar Tutarı: 55 milyon ABD Doları Saldırı Yöntemi: Özel Anahtarın Sızması

22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası, özel anahtar sızıntısı saldırısına uğradı ve 55 milyon dolardan fazla kripto varlık kaybetti. Bir büyük borsa ekibinin yardımıyla, 5.3 milyon dolar çalınan fon başarıyla donduruldu, ancak diğer varlıklar hala geri alınamadı. Bu olay, merkezi borsaların özel anahtar yönetimi konusundaki endişeleri derinleştirdi.

8. Radiant Capital Çoklu İmza Cüzdanı Saldırıya Uğradı

Zarar miktarı: 53 milyon ABD Doları Saldırı Yöntemi: Özel Anahtarın Sızması

17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı bir hacker tarafından ele geçirildi. Düşük eşik olan 3/11 imza doğrulama modelini kullandığı için, hacker 3 imza sahibinin özel anahtarını ele geçirerek çevrimdışı imza başlattı ve cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese devretti, bu da sonunda 53 milyon doların çalınmasına neden oldu. Bu saldırı, çoklu imza cüzdanı tasarımı ve yönetim mekanizması üzerine sektörde bir düşünceye yol açtı.

Dikkate değer ki, Radiant Capital bu saldırıdan önce sözleşme açığı yüzünden 4.5 milyon dolar kaybetmiş ve 1900'den fazla ETH çalınmıştır. Bu, Web3 projelerinin güvenliğe olan öneminin artırılması gerektiğini bir kez daha göstermektedir.

9. Hedgey Finance, çok zincirli bir saldırıya uğradı

Zarar miktarı: 44.7 milyon dolar Saldırı Yöntemi: Sözleşme Açığı

19 Nisan 2024'te, Hedgey Finance, birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackler, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum zincirlerindeki tokenları başarıyla çekti ve toplam kayıp miktarı 44.7 milyon dolar oldu. Bu olay, kod denetiminin önemini, özellikle token onay mantığının titiz bir şekilde doğrulanması gerektiğini vurguluyor.

10. Bir kripto para borsasının sıcak cüzdanı saldırıya uğradı

Kayıp Tutarı: 44.7 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı

19 Eylül 2024'te, bir kripto para borsasının sıcak cüzdanı bir hacker tarafından ihlal edildi ve etkilenen zincirler arasında Ethereum, BNB Chain, Tron gibi birçok kamu zinciri yer aldı. Borsa hızla varlık transferi ve para çekme dondurma mekanizmasını devreye sokmasına rağmen, hacker 44.7 milyon dolar değerinde varlıkları başarıyla çekti. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek riskini bir kez daha ortaya çıkardı ve sektörü daha güvenli varlık depolama çözümleri arayışına yönlendirdi.

2024 yılı güvenlik saldırı olaylarının sıklığı, bir kez daha bize hatırlatıyor ki, blok zinciri sektörünün gelişimi güvenli bir koruma olmadan mümkün değildir. Özel anahtar sızıntısından akıllı sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerinin evrimine kadar her bir olay derin dersler getirmiştir. Artan karmaşık saldırı tehditleriyle başa çıkmak için sektör paydaşlarının teknoloji geliştirme, yönetim standartları ve risk önleme alanlarına sürekli yatırım yapmaları gerekmektedir. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla daha güvenli bir blok zinciri ekosistemi inşa etmeyi ve kullanıcılar ile yatırımcılara daha güvenilir bir koruma sağlamayı umuyoruz.