Bir NFT Protokolü olan OMNI, Yeniden Giriş Saldırısında 1300ETH Kaybetti

By Balcı B., Gate.io Researcher

TL: DR
- NFT protokolü OMNI bir ihlal yaşadı ve dahili test fonlarındaki 1.300 ETH çalındı.

- Saldırgan, akıllı sözleşmelerdeki kusurlardan yararlanmak için kullanılan bir yöntem olan yeniden giriş saldırısı kullandı.

- NFT alanı, sistemleri tehlikeye atmak ve mümkün olan her yerde para çalmak için fırsatlar arayan kötü aktörler için popüler bir hedef olmaya devam ediyor.

Anahtar Kelimeler: OMNI, NFT, Reentrancy, hack, protokol, test fonu.

10 Temmuz 2022'de NFT protokolü OMNI bir ihlal yaşadı ve test fonlarında 1.300 ETH kaybetti. NFT para piyasasına göre, hiçbir kullanıcının fonu etkilenmedi. OMNI ekibi, Protokol'ün askıya alınmış olmasına rağmen hala beta aşamasında olduğunu açıkladı. Şu anda saldırının nedenini araştırdığını da sözlerine ekledi. Ancak blockchain güvenlik firması PeckShield daha sonra bunun yeniden girişle ilgili bir saldırı gibi göründüğünü söyledi. OMNI ekibi henüz saldırının tam bir incelemesini ve otopsisini yapmadı.

OMNI Tweet

DeFi ve NFT alanında kötü aktörlerin yüz milyonlarca dolar çaldığı birkaç saldırı gerçekleşti.

OMNI, borç verme ve ödünç alma hizmetleri sağlayan bir NFT para piyasasıdır. Kullanıcılar, NFT'leri ve diğer ERC-20 tokenlerini ödünç vererek faiz kazanabilir. Varlıklar krediler için teminat olarak da kullanılabilir.

DeFi ve NFT alanında kötü aktörlerin yüz milyonlarca dolar çaldığı birkaç saldırı gerçekleşti.

OMNI, borç verme ve ödünç alma hizmetleri sağlayan bir NFT para piyasasıdır. Kullanıcılar, NFT'leri ve diğer ERC-20 tokenlerini ödünç vererek faiz kazanabilir. Varlıklar ayrıca kredi teminatı olarak da kullanılabilir.

NFT ve Siber Saldırı

Yavaşlayan satışlara rağmen, NFT pazarı kripto para birimi endüstrisindeki en aktif segmentlerden biri olmaya devam ediyor. Sonuç olarak, mümkün olan her yerde sistemleri tehlikeye atmak ve para çalmak için fırsatlar arayan bilgisayar korsanları için en iyi hedef olarak yer alıyor.

Bu tür olaylar bu yıl defalarca yaşandı. Bir NFT kredi havuzu olan XCarnival, bilgisayar korsanının 1.500 ETH ödülü almasına rağmen bir saldırı nedeniyle yaklaşık 4 milyon dolar kaybetti. Bored Ape Yacht Club'a karşı Discord ve diğer sosyal medya platformlarını hedef alan birden fazla kimlik avı girişimi de başlatıldı.

Bu alandaki en dikkate değer olay, 600 milyon dolardan fazla hırsızlıkla sonuçlanan Ronin Köprüsü hack'iydi. Analistler, olayın arkasında Kuzey Koreli bilgisayar korsanlarının olduğuna inanıyor. Ancak, son piyasa düşüşü nedeniyle, Kuzey Kore'nin çalınan kripto para biriminin değeri önemli ölçüde düştü.


Yeniden Giriş Saldırısı nedir?

Yeniden giriş, bir işlemin yürütmenin ortasında kesintiye uğrayabileceği, aynı işlevin farklı bir oluşumunun başlayabileceği ve her iki işlemin de tamamlanabileceği süreci tanımlamak için uzun yıllardır hesaplamada kullanılan bir terimdir. Güvenli bir şekilde hesaplamak için her gün yeniden giriş işlevlerini kullanırız. İyi bir örnek, bir sunucuda bir e-posta taslağı başlatma, başka bir e-posta göndermek için taslağa çıkma ve ardından bitirmek ve göndermek için taslağa geri dönme yeteneğidir.

Hesap bakiyesinin yalnızca başlangıç aşamasında kontrol edildiği, banka havalesi yapmak için kötü tasarlanmış bir çevrimiçi bankacılık sistemi düşünün. Bir kullanıcı, hiçbirini göndermeden birkaç transfer başlatabilir. Bankacılık sistemi, kullanıcının hesabının her transfer için yeterli paraya sahip olduğunu onaylayacaktır. Gerçek gönderme sırasında ek doğrulama yapılmadıysa, kullanıcı potansiyel olarak tüm işlemleri gönderebilir ve bakiyesini aşabilir.


Bazı Ünlü Yeniden Giriş Saldırısı Örnekleri

DAO Hack

Yeniden giriş saldırısının en iyi bilinen örneği, 2016 yılında Ethereum'un DAO'sunun (merkezi olmayan özerk kuruluş) Ether'de 60 milyon dolara saldırıya uğramasıyla meydana geldi. Bilmeyenler için, Ethereum'un DAO'su, ağ üyelerinin yatırım yapılacak girişimlere oy verebileceği, yatırımcı odaklı bir risk sermayesi şirketi olarak işlev görmek üzere tasarlanmış bir projeydi.

DAO, tarihin en başarılı kitle fonlaması projelerinden birinde 150 milyon dolarlık inanılmaz bir bağış topladı. Bununla birlikte, bilgisayar bilimcileri ve topluluktaki diğerleri, fonları tutan akıllı sözleşmenin, koddaki yinelemeli bir çağrı hatası nedeniyle yeniden giriş saldırısına karşı savunmasız olduğundan endişe duyuyorlardı.

DAO hack o zamandan beri blockchain tarihinde bir dönüm noktası haline geldi, özellikle de fonları geri almak için bir Ethereum hard fork'unu tetiklediği ve bu süreçte Ethereum Classic'i doğurduğu için değil. Aynı zamanda, herhangi bir profesyonel, akıllı sözleşme denetimi için standart bir check-in olan yeniden giriş güvenlik açıkları ile blok zinciri güvenliği için gerçek bir öğrenme deneyimidir.

Lendf.me Protocol
Bir bilgisayar korsanı, Ethereum platformunda borç verme işlemlerini desteklemek için tasarlanmış kripto tabanlı bir finans protokolü olan Lendf.me Protokolünden 25 milyon dolar çalmak için 18 Nisan 2020'de bir yeniden giriş saldırısı kullandı. Saldırgan, Lendf.me platformunda, ERC777 tokenlerinin (token ticareti yaparken daha karmaşık etkileşimler için bir Ethereum token standardı) teminat olarak kullanılmasına izin veren bir kusurdan yararlandı. Geliştiriciler, ERC777 tokenlerinin, para gönderildiğinde veya alındığında kullanıcıları uyaran bir geri arama işlevi içerdiğini fark edemedi. Bilgisayar korsanları, alıcıyı akıllı bir sözleşme olarak ele geçirerek, fonlarının yüzde 99,5'ini Lendf.me platformunu tüketerek karmaşık yeniden giriş saldırılarıyla aksi takdirde güvenli olan bu token standardından yararlanabilir.


Yeniden Giriş Saldırılarını Önlemenin Olası Yolları

İlk olarak, projenizde gerçekleştirilen bir üçüncü taraf akıllı sözleşme denetimine ihtiyacınız var. Bu adım en etkili olanlardan biridir. Ayrıca, yeniden giriş saldırılarına karşı savunma yapmak isteyen geliştiriciler, özellikle geri arama işlevleri içeren herhangi bir akıllı sözleşme çevresinde, kodlarının yapısına çok dikkat etmelidir. Genellikle, bir akıllı sözleşme denetimi, bir projeyi yeniden giriş saldırısına karşı savunmasız olarak tanımlarsa, fonlar gönderilmeden önce bakiyeleri güncellemek için kodun yeniden yapılandırılmasını önerir. Aksi takdirde, para transferi için farklı bir işlev kullanılmasını önerebilirler.

NFT alanındaki ve blok zinciri endüstrisindeki geliştiriciler, güvenlik açısından oyunlarını geliştirmek zorundalar ve kodlarının yapısı üzerinde hiçbir zaman şans tanımazlar, bu da tüm bir projeyi boşa harcayabilir. OMNI bu sefer şanslıydı. Bilgisayar korsanı, bu sefer değerli varlıkları değil, yalnızca dahili test fonlarını çaldı.

Yazar: Gate.io Gözlemci: M. Olatunji Çevirmen: Baturalp BALCI
* Bu yazı sadece gözlemcilerin görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.

*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.