Web3 alanındaki en büyük ölçekli Hacker saldırısı olayı analizi

21 Şubat 2025'te, bir ünlü ticaret platformunun Ethereum soğuk cüzdanı ciddi bir saldırıya uğradı. Yaklaşık 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH ve 90 USDT bilinmeyen bir adrese transfer edildi. Toplam değer yaklaşık 14.6 milyar dolar.

Saldırganlar, platformun çoklu imza cüzdanının imzacılarını kötü niyetli işlemleri onaylamaya ikna etmek için özenle tasarlanmış bir kimlik avı yöntemi kullandılar. Saldırı süreci aşağıdaki gibidir:

1. Saldırgan, para transferi arka kapısı içeren kötü niyetli sözleşmeyi önceden dağıtır.
2. Safe ön yüz arayüzünü değiştirmek, imzalayanın gördüğü işlem bilgilerini gerçek donanım cüzdanına gönderilen verilerle uyumsuz hale getirmek.
3. Sahte bir arayüz aracılığıyla üç geçerli imza elde ederek, Safe çoklu imza cüzdanının uygulama sözleşmesini kötü niyetli bir sözleşme ile değiştirmek ve böylece soğuk cüzdanı kontrol edip fonları transfer etmek.

Zarar gören platform, saldırının temel nedenini belirlemek, saldırı kapsamını ve kaynağını tanımlamak ve risk azaltma stratejileri geliştirmek için Sygnia'ya delil toplama araştırması yaptırdı. Araştırma sonuçları gösteriyor ki:

• Safe'in AWS S3 depolama alanındaki kaynaklara kötü niyetli JavaScript kodu enjekte edildi.
• Kaynak değiştirme zamanı ve ağ geçmişi, kötü niyetli kodun doğrudan Safe'in AWS S3 depolama alanına enjekte edildiğini gösteriyor.
• Enjekte edilen JavaScript kodu, işlemleri manipüle etmek ve imza sürecinde işlem içeriğini değiştirmek amacıyla tasarlanmıştır.
• Kötü amaçlı kodun belirli etkinleştirme koşulları vardır ve yalnızca ticaret kaynağı belirli bir sözleşme adresiyle eşleştiğinde çalışır.
• Kötü niyetli işlem gerçekleştirildikten iki dakika sonra, güncellenmiş JavaScript kaynakları yüklendi ve kötü niyetli kod silindi.
• İlk kanıtlar saldırının Safe'in AWS altyapısından kaynaklandığını gösteriyor.
• Şu anda mağdur platformun altyapısının ihlal edildiğine dair bir belirti bulunmamaktadır.

Bu olay, kripto para endüstrisinin güvenlik yönetimi ve teknik mimarisi konusundaki derin sorunlarını ortaya çıkardı. Ana sorun, AWS depolama hizmetinin ihlal edilmesi ve bunun sonucunda JavaScript'in değiştirilmesi, bu durum Safe ön yüzü tarafından başlatılan işlem içeriğinin değiştirilmesine yol açtı. Eğer Safe ön yüzü temel SRI doğrulamasını uygulamış olsaydı, JavaScript değiştirilse bile bu tür kazalar önlenebilirdi. Aynı zamanda, mağdur platform donanım cüzdanı kullanırken işlem bilgilerini yeterince doğrulamadan onaylamış olması, Safe ön yüzüne aşırı güven de önemli bir sorun.

Donanım cüzdanları karmaşık işlemleri işlerken sınırlamalara sahiptir, çoklu imza cüzdanlarının ayrıntılı işlem verilerini tam olarak çözümleyip gösteremez, bu da imzalayıcıların işlem içeriğini tam olarak doğrulamadan "kör imza" yapmasına neden olur.

Web3 teknolojisinin hızlı gelişimiyle birlikte, ön uç güvenliği ile blok zinciri güvenliği arasındaki sınırlar giderek belirsizleşiyor. Geleneksel ön uç açıkları (XSS, CSRF gibi) Web3 ortamında yeni saldırı boyutları sunarken, akıllı sözleşme açıkları, özel anahtar yönetiminde eksiklikler gibi sorunlar riski daha da artırıyor.

Bu zorluklarla başa çıkmak için sektörün aşağıdaki önlemleri alması gerekmektedir:

1. EIP-712 yapılandırılmış imza doğrulamasını uygulayın, ön ucun doğrulanabilir veriler oluşturmasını ve akıllı sözleşmenin imzayı doğrulamasını sağlayın.
2. Donanım cüzdanı yazılımını güncelleyin, EIP-712'yi destekleyin ve zincir üzerinde anlamsal eşleşmeyi zorlayın.
3. Cihaz güvenliğini, işlem doğrulamasını ve risk kontrol mekanizmalarını kapsamlı bir şekilde artırmak.
4. Ön uç geliştirme, DApp erişimi, cüzdan bağlantısı, mesaj imzalama, işlem imzalama ve işlem sonrası işleme gibi aşamaların sıkı bir şekilde doğrulanmasını gerektirir.
5. Zincir üzerindeki sözleşmelerin güvenlik denetimlerini düzenli olarak gerçekleştirin.

Sadece çok katmanlı, kapsamlı güvenlik önlemleriyle, Web3'ün açık ortamında her bir işlemin değerini ve güvenini etkili bir şekilde korumak, "pasif onarım"dan "aktif bağışıklık"a geçişi sağlamak mümkündür.