Zephyrnet Logosu

Web 3.0 Güvenliğiyle İlgili Temel Sorunlar ve Bunları Çözmenin Yolları

Tarih:

HodlX Misafir Postası  Gönderinizi Gönderin

 

Web 3.0, blok zincirinde dağıtılan ve sanal makineler tarafından yürütülen merkezi olmayan protokollerin kullanımını içeren merkezi olmayan bir internettir. Bu merkezi olmayan uygulamalara akıllı sözleşmeler denir.

Web 3.0'ın kullanımı, DeFi ve NFT pazarları aracılığıyla kripto para birimleri biçimindeki parayla büyük ölçüde ilişkilidir. Web 3.0'ın finansal uygulamaları şu anda kilit olanlardır. Sonuçta, madencilere ve doğrulayıcılara işleminizi işleme hizmetleri için ödeme yapmak için yaptığınız her işlem için bir miktar kripto para harcamanız gerekir.

Ancak nakit akışlarıyla başa çıkmak için tasarlanmış bir sisteminiz olduğunda, bunun güvenli bir şekilde oluşturulması gerekir. Ancak Web 3.0 şu anda geliştirmenin çok erken aşamalarında ve sağlam bir teknolojiden çok deneysel testlere benziyor. Ve günümüzde çoğu yeni dijital teknolojide yaygın olduğu için güvenlik, Web 3.0'ın en büyük diş çıkarma sorunlarından biridir. Yine de, baştan çıkarıcı ödüllerle cezbedilen önemli miktarda risk sermayesi aldı.

Ve içinde büyük paralar bulunan her yeni teknolojik girişim ve bir dizi yama yapılmamış boşluklar, doğal olarak, onları kendi finansal çıkarları için kullanmaya istekli olan bilgisayar korsanları için bir cazibe haline gelir. Üstüne üstlük, Web 3.0'ın merkezi olmayan yapısı ve kişisel bilgilerinizi verme ihtiyacının olmaması, onu siber suçlular için daha da çekici kılıyor.

Ve yatırımın boyutu, bir endüstrinin potansiyelinin en iyi göstergesidir. Bu nedenle, Web 3.0'ın iyi bir potansiyele sahip olduğunu söylemek güvenli olacaktır. bazıları muhtemelen dokunulmamış kalır. Gelişimini desteklemek için güvenlik standartlarının yükseltilmesi gerekiyor.

DeFi'nin güvenliğine yönelik ana tehditler nelerdir?

Web 3.0'daki siber saldırılarla ilgili mevcut tehditler iki gruba ayrılabilir. koddaki güvenlik açıkları ve akıllı sözleşmelerin iş mantığındaki güvenlik açıkları. İlk grup, sanal makinelerin istismarlarını, mempool aşırı yüklemelerini ve yeniden giriş saldırıları. Komutlarının işlevlerini ve yürütme sırasını kullanma etrafında inşa edilirler.

Özünde, bu istismarlar, merkezi BT altyapılarına ve kişisel bilgisayarlara yapılan saldırılarda olduğu gibi, geleneksel anlamda merkezi olmayan yazılıma zarar vermez. Sadece programcılar tarafından kasıtsız olarak sağlanan fırsatlardan yararlanırlar.

Farklı şekillerde gerçekleşebilir. Geliştiriciler genellikle diğer açık kaynak projelerinin kod tabanını kullanır, ancak aynı zamanda küçük görünebilecek ve akıllı sözleşmenin çalışma şeklini etkilemeyen bazı değişiklikler yapar. Bununla birlikte, sonunda yanlış oldukları kanıtlanabilir, çünkü bu değişiklikler akıllı sözleşme operasyonunun mekanizmalarını öngörülemeyen şekillerde etkileyebilir.

Yeniden giriş saldırıları, blok zinciri tarihinde, merkezi olmayan protokollerin klasik saldırı türlerinden biri olarak azaldı. Bakiyelerini kullanarak sözde geri arama işlevini ve sözleşmedeki işlevleri hedeflerler. Bu işlev, kullanıcının teminatını platformda izlemek ve ödünç alabilecekleri fon miktarını hesaplamak için gerekli olduğu için kredi verme protokollerinin akıllı sözleşmelerinde kullanılır.

Bir kullanıcı borç para aldığında, kullanıcının sözleşmedeki bakiyesini kontrol eden ve kredi olarak ilgili miktarda likidite veren 'geri arama işlevini' sorgular. Bu süreç, kullanıcı bakiyesinin kontrolü, kredi verildikten sonra kullanıcı bakiyesinin hesaplanması ve bu şekilde kredinin verilmesi olmak üzere üç işlemden oluşur.

Geri arama işlevindeki bu işlemlerin emir yürütmesine bağlı olarak, sistemi kandırmanın ve teminatınızın izin verdiğinden daha fazla likidite almanın bir yolu olabilir.

Önce bakiye kontrolüne gider, sonra kredinin verilmesine veya değişen bakiyenin hesaplanmasına gider. Önce kredi verilirse ve kod dizisinin sonunda bir geri arama varsa, bu işlem madencilik yapılmadan ve blok zincirine eklenmeden kullanıcının süreci en baştan başlatmasına izin verir.

Örneğin, 200$ teminatınız var ve teminatınızın 100$'ı için 100$ kredi alıyorsunuz. Önce kredi verilirse ve eylemlerinizin etkileri blok zincirinde sonuçlanmadan önce geri aramayı sorgularsanız, değişmeyen miktarda teminat karşılığında başka bir kredi alabilirsiniz. Bu prosedür birden fazla yineleme alabilir ve kullanıcının likidite sözleşmesini boşaltmasına izin verebilir.

Sözleşmeyi bu siber tehditten korumanın yolu, kontroller-etkiler-etkileşim modeli olarak adlandırılır. Bu model, fonların verilmesinden önce sözleşmede kullanıcının bakiyesinin hesaplanmasını sağlar. Ancak bu basit model, geri arama işlevinin kendisinde yeniden giriş saldırıları için çalışır, ancak işlevler arası yeniden giriş saldırılarına karşı savunmak daha zordur.

Ancak yeniden giriş saldırıları, bunları ortadan kaldırmak için yeni çerçeveler tasarlandıkça daha az düzenli hale geliyor. Günümüzde, DeFi bilgisayar korsanları, çabalarını akıllı sözleşmelerin iş mantığındaki tutarsızlıklardan yararlanmaya odaklıyor ve genellikle birinden fon çalmak için çok sayıda protokol kullanıyor. Bu tür saldırılar genellikle teminat göstermeden kredi almanıza izin veren hızlı kredi hizmetlerini içerir.

En büyük flash kredi saldırılarından biri Aralık 2021'de Cream Finance'e gerçekleştirildi. $ 130 milyon değerinde cryptocurrencies ve jetonlar. Krem Finans'tan para çekmek için MakerDAO, AAVE, Yearn.finance ve Curve gibi flash kredi platformlarını kullanan saldırıya dahil olan iki adres vardı.

Sonunda, saldırgan, Cream'in PriceOracleProxy'sinin cryUSD fiyatını değerlendirmesindeki bir boşluktan yararlandı. Cream'in USD'ye sabitlenmiş sabit parası. PriceOracleProxy değerleri, yUSD Yearn Vault'ta tutulan yUSDVault sabit parasının (Yılın.finance sabit parasının) fiyatına dayalı olarak cryUSD değerini alır.

MakerDAO'dan ödünç alınan likidite ile birden fazla manipülasyon gerçekleştiren saldırgan, sekiz milyon yUSDVault'a sekiz milyon yUSD ekledi. Cream Finance PriceOracleProxy bunu yUSDVault'un artık bir yerine 2 dolara mal olduğu ve cryUSD'nin fiyatını ikiye katladığı şeklinde algıladı.

Böylece saldırgan, 3 milyar dolarlık yUSDVault'dan basılan 1.5 milyar cryUSD'de 1.5 milyar dolar aldı. Bu, saldırganın krediyi, faizi ödemesine ve kalan 1 milyar doları Cream Finance'in 130 milyon dolar değerindeki likiditesini boşaltmak için kullanmasına izin verdi.

Web 3.0'ı gelecekte neler bekliyor?

Web 3.0'ı daha güvenli hale getirmek için güvenlik standartları yükseltilmelidir. Bu, Web 3.0'ı sıfırdan oluşturmak için yetkin bir işgücü ve Web 3.0 şirketleri için çalışan nitelikli güvenlik uzmanları gerektirir. DeFi ve Web 3.0'ın diğer varlıkları yüksek seviyeler Risk açısından ana akım kamuoyunun Web 3.0'ı benimsemesini beklemek mantıksız. Bunun daha hızlı olmasını sağlamak için CeFi'nin en iyi güvenlik uygulamalarını benimseyebilir ve bunları merkezi olmayan sistemlerde uygulayabiliriz.


Dmitry Mishunin, bir DeFi güvenlik ve analitik şirketinin kurucusu ve CEO'sudur. hashex. BT sistemleri, blok zinciri ve DeFi'deki güvenlik açıkları üzerine araştırma gibi bilimsel faaliyetlere çok zaman ayırıyor.

 

Bizi takip edin Twitter Facebook Telegram

 

görüntü
Feragatname: Günlük Hodl'da ifade edilen görüşler yatırım tavsiyesi değildir. Yatırımcılar Bitcoin, kripto para birimi veya dijital varlıklara yüksek riskli yatırımlar yapmadan önce gereken özeni göstermelidir. Transferlerinizin ve işlemlerinizin kendi sorumluluğunuzda olduğunu ve meydana gelebilecek kayıpların sizin sorumluluğunuzda olduğunu lütfen unutmayın. Daily Hodl, herhangi bir kripto para biriminin veya dijital varlığın satın alınmasını veya satılmasını önermez veya Daily Hodl bir yatırım danışmanı değildir. Daily Hodl'un bağlı kuruluş pazarlamasına katıldığını lütfen unutmayın.

Öne Çıkan Görsel: Shutterstock/kaptn

spot_img

En Son İstihbarat

spot_img