Son yıllarda oldukça popüler hale gelen blok zincir teknolojisi beraberinde risklerini de getirdi. Bu teknolojide yapılan işlemler; bu işlemlerin onayı için merkezi bir aracıya veya otoriteye bağımlı olmaması, işlemlerin kaydının tamamen ya da kısmen şeffaf olması ve özellikle geriye dönük kaydedilen işlemlerin değiştirilemez yapısıyla kendisine geniş kullanım alanı buldu. Bu yazımızda yatırımcıların yanı sıra siber saldırganların da ilgisini çeken bu teknolojinin önemli noktalarına değineceğiz.
Daha çok kripto paralarla tanıdığımız blok zincir teknolojisi, son yıllarda giderek artan siber saldırıların hedefi haline geldi. Verilere göre; bu saldırılarda yaşanan kayıp sadece 2022 yılında; yaklaşık 4 milyar dolar. Geleneksel siber güvenlik önlemlerine nazaran olgunlaşmamış güvenlik ortamına sahip olması nedeniyle blok zincir teknolojisi ve uygulamaları daha savunmasız altyapılar olarak karşımıza çıkıyor. Bu nedenle çok sayıda ve etkisi büyük olan saldırılar gözlemliyoruz.
Bu saldırılardan biri olan BadgerDAO vakasında siber saldırgan; kullanıcı arayüzüne kullanıcılara oltalama saldırısı yapan zararlı kod parçacıkları enjekte ederek, kullanıcıların Web3 izinlerinin saldırganın cüzdanına tanımlanmasına olanak sağladı ve maddi kayıp etkisi 120 milyon dolarlık olan bir saldırı gerçekleştirdi. Cream Finance vakasında ise akıllı sözleşmelerdeki tekrarlayan giriş zafiyeti (re-entrancy) dahil birkaç zafiyet kullanılarak gerçekleştirilen saldırıda 130 milyon dolarlık kayıp meydana geldi.
Bu saldırıların da hedefi olan ve blok zincir teknolojisinin kullanıldığı alanlardan aşağıda bahsedelim.
Merkezi olmayan finans (De-Fi): Merkezi olmayan uygulamalar (DApp) blok zincir ağında çalışan tasarımcının istediği işlemleri gerçekleştirmesine olanak vererek blok zinciri iş katmanına bağlayan otonom uygulamalardır. Finans sektöründe kullanılan bir DApp merkezi olmayan finans olarak adlandırılır. Yatırım fonları bu uygulamalara örnek verilebilir.
NFT'ler (Non-fungible tokens): Blok zincirde saklanan farklı ve değiştirilemeyen kripto varlıklardır. NFT'ler koleksiyon varlıkları ya da gerçek hayatta alışveriş aracı olarak kullanılabilir.
Blok zincir konsorsiyumları: Ortak hedefleri olan işletmelerin özel blok zincirleri arasındaki stratejik ortaklık, işletmelerin özel müşteri hizmetleri oluşturmalarına veya ortak sorunların üstesinden gelmelerine yardımcı olabilir.
Merkezi olmayan otonom organizasyonlar (DAO'lar): Merkezi olmayan otonom kuruluşlar, onay mekanizması gibi insan etkileşimini ve insan faktörüne güven ihtiyacını ortadan kaldıran ve işlemlerini otonom çalışan akıllı sözleşmeler üzerinden gerçekleştiren şirketlerdir.
Yatırımcılar için geniş, verimli ve kazançlı fırsatlar sağlayan bu alanlarda, saldırgan ya da saldırgan gruplarının saldırılarında kullandığı zafiyetlerden bazıları ise şöyle;
Yüzde 51 saldırıları: İşlemleri doğrulamak için özellikle Proof-of-Work (PoW) konsensus mekanizmasını kullanan blok zincir ağlarında saldırgan ya da saldırgan gurubu o ağın “hash“oranının yüzde 50’sinden fazlasını kontrol ederek yeni blokların kaydedilmesini manipüle edebilir. Bu şekilde yeni blok saldırganların istediği bilgilerle kaydedilmiş olur.
“Reentrancy” saldırıları: Bu saldırı akıllı sözleşmenin güvenilmeyen harici bir sözleşmeyi çağırması ve bu harici sözleşmenin tekrardan orijinal fonksiyona yinelemeli çağrı yapmasıyla meydana gelir. Böylelikle durum parametreleri değişmeden fonksiyon tekrar çağrılmış olur ve para çekme fonksiyonlarının manipüle edilmesinde olduğu gibi potansiyel olarak ilgili fonun boşaltılmasıyla sonuçlanabilir.
“Integer Overflow ve Underflow”: Zafiyetli akıllı sözleşmelerde işaretsiz tam sayı (unsigned integer) değişkenlerinin alt veya üst limitine ulaşarak bir sonraki değerde başa dönmesi durumudur. Örneğin, 0-255 arası değerleri saklayabilen “uint8” değişkenine 256 sayısı atandığında, başa dönerek “0” değerini alır. Değeri “0” olan uint değişkeninden “1” çıkarıldığı takdirde ise benzer şekilde 255 değerini alır. Akıllı sözleşmelerin bu şekilde plan dışı davranışları yukarıda bahsettiğimiz örnek saldırılarda olduğu gibi büyük maddi kayıplara yol açabilir.
“Timestamp” bağımlılığı: “Timestamp” değeri zaman dilimi ve tarih bilgisini destekleyen bir veri türüdür. Eğer akıllı sözleşme, “ETH” gönderimi ya da rastgele sayı üretme gibi kritik işlemler için “timestamp” değerine bağlı ise ve bu değer akıllı sözleşmeyle etkileşime giren düğüm (node) tarafından sağlanıyorsa manipülasyona açık hale gelir.
Zincirde şifrelenmemiş hassas veriler: Blok zincirde verilerin şifrelenmemiş olarak saklanma durumudur. Bu veriler, muhatabı olmayan ve blok zincire erişimi olan diğer kullanıcılar tarafından muhtemel olarak görüntülenebilir ve değiştirilebilir. Bu veriler kullanıcı şifreleri ya da kişisel bilgiler gibi hassas veriler de içerebilir.
Yukarıda örneği verilen saldırıların yanı sıra ağ katmanında da “eavesdropping”, “tampering”, “şifre saldırıları” ve “enjeksiyon” gibi saldırılar gerçekleştirilebilir. Ayrıca iş katmanında “kod çalıştırma”, “hesap çalma”, “sızan hassas veriler” üzerinden ya da istemci tarafında saldırılar gibi durumlar söz konusu olabilir.
Yatırımcılar açısından; blok zincir teknolojileri ve uygulamaları için geliştirme aşamasında en iyi uygulamaların benimsenmesi, geliştirildikten sonra siber saldırı yüzeylerinin belirlenmesi ve güvenlik analizlerinin yapılması muhtemel saldırılarından korunmak için önemlidir. Web, network ve uygulama güvenliğinin aksine gelişmiş güvenlik ortamı bulunmamasına rağmen, yetkin profesyoneller tarafından geliştirilen ve analiz edilen blok zincir teknolojileri ve uygulamaları saldırganlara büyük ölçüde engel olur.
Özet olarak, bu alanda yapılan saldırılar örneklerde görüldüğü gibi büyük maddi etkiler oluşturur. Bu saldırılardan korunmak için teknik önlemlere ve güvenlik analizleri gibi proaktif yaklaşımlara öncelik verilir. Tek başına yeterli olmayan bu önlemlere, kullanıcılara güvenli kullanım eğitimleri verilmesi eklenerek saldırıların başarılı olma ihtimali en aza indirilebilir.
*Bu yazı, Danışmanlık Bölümü Siber Güvenlik Hizmetleri Müdürü Temel Demir’in katkılarıyla hazırlanmıştır.
