Çapraz Zincirli Köprü Güvenliğini Mikroskop Altına Yerleştirmek: Tartışmalı Axie Infinity_nin Ronin_i 620 Milyon Dolarlık Hack

1. 29 Mart'ta, en büyük zincir oyunu Axie Infinity'nin özel yan zinciri Ronin, saldırıya uğradığını ve 616 milyon dolarlık bir kayıpla DeFi tarihinin en büyük hırsızlığı olduğunu açıkladı.

2. Bilgisayar korsanı, Ronin köprüsünün dört düğüm doğrulayıcısını ve bir üçüncü taraf doğrulayıcısını kontrol etmeyi başardı, zincirler arası köprünün doğrulayıcı eşiğine ulaşabildi ve saldırıyı başarıyla gerçekleştirdi.

3. Şu anda, bu son derece değerli ve saldırması kolay çapraz zincir köprü projeleri, birçok bilgisayar korsanının ciddi hedefleri haline geldi.

4. 5 Ocak'ta Vitalik, blockchain'in geleceğinin "çapraz zincir" yerine "çoklu zincir" olduğunu belirtti ve çapraz zincirin güvenlik sorunlarına vurgu yaptı.

29 Mart'ta, en büyük zincir oyunu Axie Infinity'nin özel yan zinciri olan Ronin, saldırıya uğradığını ve 173600 ETH ile 25 milyondan fazla USDC'nin çalındığını duyurdu. Ronin'in kayıp değeri 616 milyon dolara ulaştı ve geçen Ağustos ayındaki Poly Network hırsızlık davasında 611 milyonu aştı ve bu aynı zamanda DeFi tarihindeki en büyük hırsızlık oldu.

Poly Network hırsızlık vakası için lütfen önceki blog yazımıza bakın: Poly Network Heist — DeFi Security'de Alarm Zilleri


Ronin'in resmi haberine göre, 23 Mart'ta bilgisayar korsanları, sisteme girmek için saldırıya uğramış özel anahtarı kullandı ve saldırıyı gerçekleştirmek için iki sahte para çekme işlemi gerçekleştirdi. Bir kullanıcı 5000 ETH'nin çapraz zincir köprüden geri çekilemeyeceğini bildirdiği için, proje yetkilileri saldırıyı ancak 29 Mart'ta, beş gün sonra keşfetti. Hırsızlığın ardından Ronin yetkilileri, zincir üzerinde merkezi bir borsa olan Ronin Bridge ve Katana'yı hemen durdurdu. Ayrıca Ronin yetkilileri, bu saldırının Ronin köprüsünün potansiyel güvenlik sorunlarını gösterdiğini ve Ronin blok zincirinin kendisinin güvenliğinin hala garanti edildiğini söyledi.

Haber çıkar çıkmaz, AXS ve RON dahil olmak üzere çeşitli ilgili varlıkların fiyatları hızla düştü.



Hacker saldırısı ayrıntıları

---

Axie infinity, dünya çapında 10 milyondan fazla oyuncuyla şu anda en popüler blockchain oyunudur. Oyun, geniş kapsamlı bir "oyna ve kazan" modu yarattı. Oyuncular oyun sırasında NFT varlıkları veya çeşitli jetonlar kazanabilir ve borsada wETH ve stablecoin gibi diğer varlıklarla takas edilebilir.

Axie Infinity, oyunda yüksek frekanslı aksesuar ticaretinin gereksinimlerini karşılamak ve işlem işleme maliyetlerini azaltmak için daha güvenli bir Ethernet ana ağı kullanmadı, ancak kendi yüksek performanslı Ethernet yan zinciri Ronin'i kurdu. Ek olarak, işlem hızını sağlamak için Ronin, az sayıda doğrulayıcıya ve yüksek derecede merkezileştirmeye sahip benzersiz bir Yetki Kanıtı (POA) fikir birliği modelini benimser. Yetkili kanıt, bu doğrulayıcıların iyi bir üne sahip olmasını gerektirir. Doğrulayıcı olmak için "itibarlarını" riske atmaları gerekir. Doğrulayıcı hatalı davranış belirtileri gösteriyorsa veya ağın güvenliğini tehdit ediyorsa, “itibar” olumsuz etkilenecektir.


Axie Infinity oynamak için üç NFT evcil hayvanınızın olması gerekir. İlk üç Eksen oyun biletleridir ve oyun mağazasından satın alınmaları gerekir. Bu nedenle Ethereum blok zincirindeki ETH, Ronin zincirinde wETH'ye dönüştürülmelidir. Bu işlem özel bir çapraz zincir köprüsü ile yapılır. Ayrıca oyun mağazasında Axie satın almak için wETH kullanabiliriz. Zincirler arası köprünün Ronin'in zayıf noktası ve bu hacker saldırısının atılımı olduğu yer burasıdır.

Daha önce, çapraz zincir köprüsünün bakımından toplam dokuz doğrulama düğümü müştereken sorumluydu. Çapraz zincir köprüsündeki para yatırma ve çekme olaylarını başarılı bir şekilde tanımlamak için dokuz düğümün en az beş imzası gerekiyordu. Bu saldırıda hacker, dört düğüm doğrulayıcı ve bir üçüncü taraf doğrulayıcının özel anahtarlarını kontrol etmeyi başardı, çapraz zincir köprünün doğrulayıcı eşiğine ulaştı, saldırıyı gerçekleştirdi ve parayı başarıyla geri çekti. Bu ek üçüncü taraf doğrulayıcının Axie DAO tarafından yönetildiği, ancak düğüm tarafından erken aşamada verilen beyaz liste izninin iptal edilmediği bildiriliyor. Saldırgan, gaz olmayan RPC düğümü aracılığıyla doğrulayıcının imzasını alabilir.

Şu anda Ronin, daha fazla saldırı riskini geçici olarak ortadan kaldırmak için zincirler arası köprü doğrulayıcı eşiğini 5'ten 8'e geçici olarak artırdı. 6 Nisan itibariyle, Ronin zincirindeki Katana Dex yeniden açıldı.


Çapraz zincir köprüsü: Aşil topuğu

---

Zincirler arası köprü, zincir üzerindeki varlıkları bir blok zincirinden diğerine aktarabilir. Blok zincirinin kendisi sağlam bir tuğla ile karşılaştırıldığında, zincirler arası köprü, blok zinciri ve blok zinciri arasındaki "yumuşak bağlantı" dır. Tüm blok zinciri endüstrisinin gelişmesiyle birlikte, çeşitli kamu zincirleri durmadan ortaya çıkıyor. Bu halka açık zincirler birlikte çalışabilir olmadığından, birbirleriyle iletişim kurabilen çapraz zincir köprüsü giderek daha önemli hale geldi.

Bu saldırıda, bilgisayar korsanları akıllı sözleşmenin boşluklarını saldırmak için kullanmadılar, ancak Ronin ve Ethereum arasındaki zincirler arası köprüye saldırdılar. Ayrıca saldırı yöntemi de nispeten ilkeldir ve birden çok zincirler arası köprü doğrulama düğümünün özel anahtarlarını doğrudan çalar. Şu anda, çok sayıda çapraz zincirli köprü projesi, Ronin köprüsüne benzer çoklu imza teknolojisini kullanıyor ve bu projeler de benzer saldırı riskleriyle karşı karşıya. Nispeten sıkı bir kod denetiminden sonra, blok zincirinin güvenliği garanti edildi ve son derece yüksek TVL'ye sahip çapraz zincir köprüsü, blok zincirinin güvenliğini tehdit eden "Aşil topuğu" haline geldi.

Dune Analytics'e göre, Ethereum zincirler arası köprü TVL tek başına 21.06 milyar dolara ulaştı. Bunlar arasında, Polygon, Avalanche, Arbitrum, Fantom ve Near çapraz zincir köprülerinin TVL'si 1 milyar doları aştı. Bu son derece değerli ve saldırması kolay çapraz zincirli köprü projeleri, birçok bilgisayar korsanının ciddi hedefleri haline geldi.


Aslında son aylarda zincirler arası köprülere karşı birçok hacker saldırısı oldu. 27 Ocak 2022'de Qubit Bridge saldırıya uğradı ve sonunda belirli bir USD miktarı transfer edildi; 2 Şubat'ta Solucan Deliği Köprüsü de saldırıya uğradı ve 320 milyon dolar kaybetti; 5 Şubat'ta, başka bir zincirler arası köprü olan Meter.io Köprüsü, bilgisayar korsanının ellerine 4,2 milyon dolar kaybetti.


5 Ocak 2022'de Ethereum'un kurucusu Vitalik, Reddit'te blok zincirinin geleceğinin "çapraz zincir" yerine "çoklu zincir" olduğunu belirtmiş ve çapraz zincirin güvenlik sorunlarına vurgu yapmıştır. Tek bir blok zincirinde, en kötü durumda bile blok zincirini orijinal durumuna geri döndürmek hala mümkündür. Çapraz zincir dahil olduğunda, sorunun çözülmesi zordur.


Çözüm

---

DeFi güvenliği, geniş blok zinciri uygulamasında her zaman büyük bir zorluk olmuştur. “Kod kanundur” dünyasında, kurallarda boşluklar varsa bu çok kötü olur. İlgili teknolojilerin geliştirilmesiyle, en kısa sürede daha güvenli bir merkezi olmayan dünyanın gelebileceğini içtenlikle umuyoruz.



Yazar: Gate.io Araştırmacı: Edward H. Çevirmen: Joy Z.
* Bu yazı sadece araştırmacının görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.
*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.



Gate.io Öne Çıkan Makaleler
Çapraz Zincir Köprüler Neden Önemlidir?
TheDAO Hırsızlığı：Ethereum Hard Fork'un Hikayesi Açıklandı
Aave V3 Piyasaya Sürüldü, DeFi Sektörüne Güçlü Bir Şekilde Liderlik Edildi