WEB 3.0

Web 3.0 Güvenliğiyle İlgili Temel Sorunlar ve Bunları Çözmenin Yolları!

avatar of doğan şasi̇

Yayınlandı

Tarih:

Web 3.0, blok zincirinde dağıtılan ve sanal makineler tarafından yürütülen merkezi olmayan protokollerin kullanımını içeren merkezi olmayan bir internettir. Bu merkezi olmayan uygulamalara akıllı sözleşmeler denir.

Web 3.0’ın kullanımı, DeFi ve NFT pazarları aracılığıyla kripto para birimleri biçimindeki parayla büyük ölçüde ilişkilidir. Web 3.0’ın finansal uygulamaları şu anda kilit olanlardır. Sonuçta, madencilere ve doğrulayıcılara işleminizi işleme hizmetleri için ödeme yapmak için yaptığınız her işlem için bir miktar kripto para harcamanız gerekir.

Ancak nakit akışlarıyla başa çıkmak için tasarlanmış bir sisteminiz olduğunda, bunun güvenli bir şekilde oluşturulması gerekir. Ancak Web 3.0 şu anda geliştirmenin çok erken aşamalarında ve sağlam bir teknolojiden çok deneysel testlere benziyor. Ve günümüzde çoğu yeni dijital teknolojide yaygın olduğu için güvenlik, Web 3.0’ın en büyük diş çıkarma sorunlarından biridir. Yine de, baştan çıkarıcı ödüllerle cezbedilen önemli miktarda risk sermayesi aldı.

Ve içinde büyük paralar bulunan her yeni teknolojik girişim ve bir dizi yama yapılmamış boşluklar, doğal olarak, onları kendi finansal çıkarları için kullanmaya istekli olan bilgisayar korsanları için bir cazibe haline gelir. Üstüne üstlük, Web 3.0’ın merkezi olmayan yapısı ve kişisel bilgilerinizi verme ihtiyacının olmaması, onu siber suçlular için daha da çekici kılıyor.

web 3.0
web 3.0 güvenliğiyle i̇lgili temel sorunlar ve bunları çözmenin yolları! 32

Ve yatırımın boyutu, bir endüstrinin potansiyelinin en iyi göstergesidir. Bu nedenle, Web 3.0’ın iyi bir potansiyele sahip olduğunu söylemek güvenli olacaktır – bunlardan bazıları muhtemelen henüz kullanılmamıştır. Gelişimini desteklemek için güvenlik standartlarının yükseltilmesi gerekiyor.

DeFi’nin güvenliğine yönelik ana tehditler nelerdir?

Web 3.0’daki siber saldırılarla ilgili mevcut tehditler iki gruba ayrılabilir – koddaki güvenlik açıkları ve akıllı sözleşmelerin iş mantığındaki güvenlik açıkları. İlk grup, sanal makinelerin istismarlarını, mempool aşırı yüklemelerini ve yeniden giriş saldırılarını içerir. Komutlarının işlevlerini ve yürütme sırasını kullanma etrafında inşa edilirler.

REKLAM

Özünde, bu istismarlar, merkezi BT altyapılarına ve kişisel bilgisayarlara yapılan saldırılarda olduğu gibi, geleneksel anlamda merkezi olmayan yazılıma zarar vermez. Sadece programcılar tarafından kasıtsız olarak sağlanan fırsatlardan yararlanırlar.

Farklı şekillerde olabilir. Geliştiriciler genellikle diğer açık kaynak projelerinin kod tabanını kullanır, ancak aynı zamanda küçük görünebilecek ve akıllı sözleşmenin çalışma şeklini etkilemeyen bazı değişiklikler yapar. Bununla birlikte, sonunda yanlış oldukları kanıtlanabilir, çünkü bu değişiklikler akıllı sözleşme operasyonunun mekanizmalarını öngörülemeyen şekillerde etkileyebilir.

Yeniden giriş saldırıları, blok zinciri tarihinde, merkezi olmayan protokollerin klasik saldırı türlerinden biri olarak azaldı. Bakiyelerini kullanarak sözde geri arama işlevini ve sözleşmedeki işlevleri hedeflerler. Bu işlev, kullanıcının teminatını platformda izlemek ve ödünç alabilecekleri fon miktarını hesaplamak için gerekli olduğu için kredi verme protokollerinin akıllı sözleşmelerinde kullanılır.

Bir kullanıcı borç para aldığında, kullanıcının sözleşmedeki bakiyesini kontrol eden ve kredi olarak ilgili miktarda likidite veren ‘geri arama işlevini’ sorgular. Bu süreç, kullanıcı bakiyesinin kontrolü, kredi verildikten sonra kullanıcı bakiyesinin hesaplanması ve bu şekilde kredinin verilmesi olmak üzere üç işlemden oluşur.

Geri arama işlevindeki bu işlemlerin emir yürütmesine bağlı olarak, sistemi kandırmanın ve teminatınızın izin verdiğinden daha fazla likidite almanın bir yolu olabilir.

REKLAM

Önce bakiye kontrolüne gider, sonra kredinin verilmesine veya değişen bakiyenin hesaplanmasına gider. Önce kredi verilirse ve kod dizisinin sonunda bir geri arama varsa, bu işlem madencilik yapılmadan ve blok zincirine eklenmeden kullanıcının süreci en baştan başlatmasına izin verir.

Örneğin, 200$ teminatınız var ve teminatınızın 100$’ı için 100$ kredi alıyorsunuz. Önce kredi verilirse ve eylemlerinizin etkileri blok zincirinde sonuçlanmadan önce geri aramayı sorgularsanız, değişmeyen miktarda teminat karşılığında başka bir kredi alabilirsiniz. Bu prosedür birden fazla yineleme alabilir ve kullanıcının likidite sözleşmesini boşaltmasına izin verebilir.

Sözleşmeyi bu siber tehditten korumanın yolu, kontroller-etkiler-etkileşim modeli olarak adlandırılır. Bu model, fonların verilmesinden önce sözleşmede kullanıcının bakiyesinin hesaplanmasını sağlar. Ancak bu basit model, geri arama işlevinin kendisinde yeniden giriş saldırıları için çalışır, ancak işlevler arası yeniden giriş saldırılarına karşı savunmak daha zordur.

Ancak yeniden giriş saldırıları, bunları ortadan kaldırmak için yeni çerçeveler tasarlandıkça daha az düzenli hale geliyor. Günümüzde, DeFi korsanları, çabalarını akıllı sözleşmelerin iş mantığındaki tutarsızlıklardan yararlanmaya daha fazla odaklıyor ve genellikle birinden fon çalmak için çok sayıda protokol kullanıyor. Bu tür saldırılar genellikle teminat göstermeden kredi almanıza izin veren hızlı kredi hizmetlerini içerir.

En büyük flash kredi saldırılarından biri Aralık 2021’de Cream Finance’e gerçekleştirildi. Bu saldırı 130 milyon dolar değerinde kripto para ve token hırsızlığıyla sonuçlandı . Krem Finans’tan para çekmek için MakerDAO, AAVE, Yearn.finance ve Curve gibi flash kredi platformlarını kullanan saldırıya dahil olan iki adres vardı.

REKLAM
web 3.0 güvenliğiyle i̇lgili temel sorunlar ve bunları çözmenin yolları! 30
web 3.0 güvenliğiyle i̇lgili temel sorunlar ve bunları çözmenin yolları! 33

Sonunda saldırgan, Cream’in PriceOracleProxy’sinin cryUSD – Cream’in USD sabitli sabit parasının fiyatına ilişkin değerlendirmesindeki bir boşluktan yararlandı. PriceOracleProxy değerleri, yUSD Yearn Vault’ta tutulan yUSDVault sabit parasının (Yılın.finance sabit parasının) fiyatına dayalı olarak cryUSD değerini alır.

MakerDAO’dan ödünç alınan likidite ile birden fazla manipülasyon gerçekleştiren saldırgan, sekiz milyon yUSDVault’a sekiz milyon yUSD ekledi. Cream Finance PriceOracleProxy bunu yUSDVault’un artık bir yerine 2 dolara mal olduğu ve cryUSD’nin fiyatını ikiye katladığı şeklinde algıladı.

Böylece saldırgan, 1,5 milyar dolarlık yUSDVault’dan basılan 1,5 milyar cryUSD’de 3 milyar dolar aldı. Bu, saldırganın krediyi, faizi ödemesine ve kalan 1 milyar doları Cream Finance’in 130 milyon dolar değerindeki likiditesini boşaltmak için kullanmasına izin verdi.

Web 3.0’ı gelecekte neler bekliyor?

Web 3.0’ı daha güvenli hale getirmek için güvenlik standartları yükseltilmelidir. Bu, Web 3.0’ı sıfırdan oluşturmak için yetkin bir işgücü ve Web 3.0 şirketleri için çalışan nitelikli güvenlik uzmanları gerektirir. DeFi ve Web 3.0’ın diğer varlıkları yüksek düzeyde risk taşırken, ana akım kamuoyunun Web 3.0’ı benimsemesini beklemek mantıksız. Bunun daha hızlı olmasını sağlamak için CeFi’nin en iyi güvenlik uygulamalarını benimseyebilir ve bunları merkezi olmayan sistemlerde uygulayabiliriz.

Kripto Para Borsası Binance’de hesap açmak için tıklayın!

Tüm gelişmeleri anlık almak ister misiniz? >>> Hemen TelegramInstagramTwitter hesaplarımızı takip ederek bildirimleri açın, gelişmelerden ilk siz haberdar olun!

Not: Bu sitede yazılan makale içerikleri tamamen yorum ve analize dayalıdır. Hiçbir şekilde yatırım tavsiyesi değildir.

REKLAM
REKLAM

Risk Uyarısı: Bitvoin.co'daki yazılar yatırım tavsiyesi niteliği taşımamaktadır. Bitcoin ve kripto para birimleri yüksek riskli varlıklardır ve bu para birimlerine yatırım yapmadan önce gerekli özeni göstermeli ve kendi araştırmanızı yapmalısınız. Bitcoin ve kripto para birimlerine yatırım yaparak paranızın bir kısmını veya tamamını kaybedebilirsiniz. Transfer ve işlemlerinizin riskinin size ait olduğunu ve oluşabilecek her türlü zararın sizin sorumluluğunuzda olduğunu unutmayın.

Sorumluluk Reddi: Bitvoin.co herhangi bir kripto para biriminin veya dijital varlığın alınmasını veya satılmasını önermez ve Bitvoin.co bir yatırım danışmanı değildir. Bu nedenle, yatırım kararlarınızdan Bitvoin.co ve sitedeki yazıların yazarları sorumlu tutulamaz.


DMCA.com Protection Status