Vitalik Buterin henüz bu olaylar yaşanmadan önce uyarmıştı. Bizde aynı gün ocak ayında bu uyarıyı sizlerle paylaştık. Peki sonrasında ne oldu? Multichain, Wormhole, Meter, Ronin, Harmony, Nomad ve son 24 saatte Binance köprüsü hacklendi. Toplam kayıplar 2,5 milyar doları aştı. Ve kripto paraları konu alan hack olaylarının en az %50’sinde hedef “köprüler” oldu.
Vitalik Buterin Uyarmıştı
Ocak ayında Vitalik Buterin, köprülerin ve Cross Chain uygulamaların çok ciddi riskler barındırdığından bahsetti. Bunu duyurduğumuzda birçok yatırımcı Vitalik tarafından ortaya atılan iddianın bir FUD olduğunu düşündü. Aslında o günlerde köprüler ve Cross Chain uygulamalar oldukça havalı ve popülerdi. Ethereum’un kurucusu bu görüşünü paylaşalı henüz 10 ay oldu ve birçok büyük köprünün hacklendiğini gördük.
Smart Contract (@0xSmartContract) tarafından Twitter üzerinden paylaşılan verilere göre son 10 ayda 9 büyük köprü saldırısı oldu. Bunların birçoğu halen aklımızda çünkü sabahları kana bulanan piyasaların sebebi bu saldırılar oldu. Ronin sonrasında Tornado Cash’in yasaklanmasına kadar giden bir süreç başladı.
Binance Köprüsü Nasıl Hacklendi?
Binance Bridge deki bir güvenlik açığı nedeniyle 2 milyon BNB çalındı. Köprünün kanıt doğrulama mekanizmasında ufak bir hata vardı ve saldırganlar şans eseri az işlem yaptı. Buradaki bir kod hatasından ziyade tasarım kusuruydu. Kod tasarımındaki kusurlar yanlış kurgulanan veya eksik bırakılan algoritmaların bir sonucudur. Aslına bakarsak Terra’nın UST ve LUNA’sının çöküşü de bir tasarım hatasıydı. Kripto para yatırımcılarının canını yakan neredeyse tüm büyük saldırıların temelinde bu kod tasarım hataları vardı. Hatta sürekli olarak özellikle yeni projelerde bu tarz zafiyetlerin fiyatı sıfıra götürebileceğinden bahsediyorduk. Çünkü birçoğu açık kaynak projelerin çeşitli kod bloklarını sadece kopyala yapıştır ile birleştirerek kendi projelerini oluşturuyor, piyasaya sürüyordu.
Peki Binance gibi devler bu hataları nasıl yapıyor? Bunu tek sebebi kripto endüstrisinin ve yazılımcı gücünün henüz gelişme aşamasında olmasıdır. Birçok ürün ilk defa deneniyor, projelere özel yeni çözümler üretiliyor ve bunlar her zaman kusursuz olmuyor.
Hacklenme potansiyeli yüksek blockchain alanlarının genel grafiği aşağıdaki gibidir. Bu alanda öne çıkar kripto para projeleri saldırganların bir sonraki durağı olabilir.
BSC Token Hub bir cross-chain ve BNB Beacon Chain (BEP2) ile BNB Chain (BEP20 veya BSC) arasında bir köprü neyse ki çalınan fonların büyük kısmı kara listeye alındı ve kayıp 80 milyon dolara düşürüldü. BSC gibi merkezi ağların hızlı aksiyon alma yeteneği bir avantajdır. Öyle de oldu Binance ekibi duruma hızlıca el attı. Teknik olarak saldırgan BSC’deki 10 milyar doları aşan varlığı boşaltabilirdi ancak Binance hızlı davrandığı için bunu yapamadı.
Hata işlem sırasındaki “proof verify” yani köprüdeki “kanıt doģrulayıcı” sistemindeydi. Köprüye gidip 1 milyar $ istiyorsunuz ve karşı blockchain deki kanıtıda yazıyorsunuz bu kadar. Hacker köprüyü kandırdı ve bir hata nedeniyle köprü tarafından yanlış bir şekilde geçerli olarak kabul edilen geçersiz bir kanıt sağladı.
Konuyla ilgili Türk kripto para topluluğunun yakından takip ettiği Tansel Kaya ise şunları söyledi;
”Binance’in her tür saldırıdan az yara ile güven tazeleyerek çıkmasının en önemli sebebi sorunu birinci elden yönetmeleri. İlk anda olayı duyuruyorlar, sorunu hızlı buluyorlar, hızlı tamir ediyorlar, sonrasında da kalan hasarı üstleniyorlar. Kıvırma, topu başkasına atma yok”.