2024 yılında, blockchain sektörü teknolojik yenilik ve ekosistem genişlemesi sürecinde giderek artan güvenlik tehditleriyle karşı karşıya kalmaktadır. Güvenlik izleme platformu verilerine göre, şu ana kadar 2024 yılı Web3 alanında hacker saldırıları, phishing dolandırıcılıkları ve proje sahiplerinin kaçması gibi nedenlerle toplamda 24.91 milyar dolara kadar kayıplar yaşanmıştır.
Bu olaylar sadece özel anahtar yönetimi, akıllı sözleşmeler gibi teknik alanlardaki açıkları ortaya çıkarmakla kalmadı, aynı zamanda sosyal mühendislik saldırıları ve iç yönetimle ilgili potansiyel riskleri de vurguladı. Bu makalede, 2024 Web3 alanındaki en etkili on güvenlik olayı gözden geçirilecek, böylece sektörün bu olaylardan ders çıkarması ve gelecekteki güvenlik tehditlerine daha iyi yanıt vermesi umulmaktadır.
1. DMM Bitcoin
Zarar Miktarı: 304 milyon ABD Doları
Saldırı Yöntemi: Özel Anahtar Sızıntısı
31 Mayıs 2024'te, Japonya'nın tanınmış kripto para borsası DMM Bitcoin büyük bir güvenlik kazasıyla karşılaştı. Saldırganlar sızan özel anahtarları kullanarak 300 milyon doların üzerinde Bitcoin'i doğrudan transfer etti ve çalınan fonları hızla 10'dan fazla farklı adrese dağıttı. Bu olay, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik önlemleri konusundaki ciddi eksikliklerini ortaya çıkardı. Borsa, saldırganları takip etmek için zincir üzerindeki izleme ve fonları dondurma girişiminde bulunsa da, çalınan Bitcoin'lerin hızla dağıtılıp karıştırma araçlarıyla temizlenmesi nedeniyle geri alma çalışmaları büyük zorluklarla karşılaştı.
24 Aralık'ta, Japon polisi bu saldırının Kuzey Koreli hacker grubu Lazarus Group tarafından gerçekleştirildiğini doğruladı.
2. PlayDapp
Zarar Miktarı: 2.90 milyon dolar
Saldırı yöntemi: Özel anahtar sızıntısı
9 Şubat 2024'te, PlayDapp büyük bir darbe aldı. Hackerlar, özel anahtarları çalarak 2 milyar PLA tokeni basmayı başardı ve bunların başlangıç değeri 36.5 milyon dolardı. Hackerlarla yapılan müzakerelerin başarısız olmasının ardından, saldırganlar kısa süre içinde 15.9 milyar PLA tokeni daha basarak 253.9 milyon dolarlık bir değer elde etti. Çalınan tokenlerin bir kısmı borsalara ulaştıktan sonra, PlayDapp PLA sözleşmesini askıya almak ve yeni PDA token sözleşmesine geçiş yapmak zorunda kaldı. Bu olay, blockchain projelerinin özel anahtar koruma ve acil durum yönetimi konusundaki eksikliklerini gözler önüne serdi.
3. Bir Hindistan Kripto Para Borsa
Zarar Miktarı: 235 milyon ABD doları
Saldırı yöntemleri: Ağ saldırıları ve kimlik avı
2024 yılı 18 Temmuz'da, Hindistan'ın en büyük kripto para borsası Safe Wallet çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleri kullanarak çoklu imza imzalayıcılarını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki varlıkları tamamen transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yönetimi ve operasyonel şeffaflık konusundaki potansiyel risklerini vurgulamakta ve sektörde projelerin iç risk kontrolü ve güvenlik mekanizmaları üzerine derinlemesine bir düşünmeyi tetiklemektedir.
4. Gala Oyunları
Zarar Miktarı: 216 milyon dolar
Saldırı Yöntemi: Erişim Kontrol Açığı
2024 yılında 20 Mayıs'ta, Gala Games'in bir ayrıcalıklı adresi hackerlar tarafından saldırıya uğradı. Saldırganlar, token sözleşmesindeki mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni bastılar. Ardından, hackerlar artırılan tokenleri ETH'ye dönüştürerek doğrudan 216 milyon dolarlık bir zarara neden oldular. Gala Games ekibi olayın ardından acil olarak kara liste işlevini devreye alarak bazı hacker hesaplarını engelledi ve hukuki yollarla bir kısmını geri almaya çalıştı.
5. Ripple kurucu ortağının kişisel cüzdanı çalındı
Zarar Miktarı: 112 milyon dolar
Saldırı Yöntemi: Özel Anahtar Sızıntısı
31 Ocak 2024'te, Ripple'ın kurucu ortağı Chris Larsen'in dört kişisel cüzdanı hacklendi ve 112 milyon dolarlık XRP çalındı. Bu cüzdanların, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi haline geldiği düşünülüyor. Olaydan sonra, bir borsa 4.2 milyon dolar değerinde XRP'yi başarıyla dondurdu ve Larsen'e çalınan varlıkların izini sürmesinde yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla temizlendi.
6. Munchables
Kayıp Miktarı: 62.5 milyon dolar
Saldırı yöntemi: Sosyal mühendislik saldırısı
26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırganlar, blockchain geliştiricisi kılığında gizlenen hackerlerdi ve uzun süreli sızma yoluyla çekirdek kodu ve hassas anahtarlara erişim sağladılar. Saldırı büyük kayıplara yol açmasına rağmen, topluluk ve ekip baskısı altında hackerlar, nihayetinde çalınan tüm fonları geri iade ettiler. Bu olay, özellikle üçüncü taraf geliştirmelere bağımlı olan blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.
7. Bir Türk Kripto Para Borsası
Zarar Miktarı: 55 milyon ABD Doları
Saldırı Yöntemi: Özel Anahtar Sızıntısı
22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası özel anahtar sızıntısı saldırısına uğradı ve 55 milyon dolardan fazla kripto varlık kaybedildi. Bir borsa ekibinin yardımıyla, 5,3 milyon dolarlık çalınan fon başarıyla donduruldu, ancak diğer varlıklar hala geri alınamadı. Bu olay, merkezi borsaların özel anahtar yönetimine yönelik endişeleri artırdı.
8. Radiant Capital
Zarar Miktarı: 53 milyon dolar
Saldırı Yöntemi: Özel Anahtar Sızıntısı
17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı bir hacker tarafından saldırıya uğradı. Düşük eşik olan 3/11 imza doğrulama modelini kullandığı için, hacker 3 imzacıdan birinin özel anahtarını ele geçirerek cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese transfer etmek için çevrimdışı imza başlattı ve sonuçta 53 milyon dolar çalındı. Bu saldırı, çoklu imza cüzdanlarının tasarımı ve yönetim mekanizmaları üzerine sektörde bir sorgulama başlattı.
Dikkat çekici bir nokta, Radiant Capital'in bu saldırıdan önce, sözleşme açığı nedeniyle 4.5 milyon dolar kaybetmiş olması ve 1900'den fazla ETH'nin çalınmış olmasıdır. Bu durum, Web3 projelerinin güvenliğe olan öneminin artırılması gerektiğini bir kez daha vurgulamaktadır.
9. Hedgey Finance
Zarar Miktarı: 44,7 milyon dolar
Saldırı Yöntemi: Sözleşme Açığı
2024 yılının 19 Nisan'ında, Hedgey Finance, birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum üzerindeki tokenları başarıyla çekti ve toplam kayıp miktarı 44.7 milyon dolara ulaştı. Bu olay, kod denetiminin önemini, özellikle de token onay mantığının titiz bir şekilde doğrulanmasının gerekliliğini göstermektedir.
10. Bir kripto para borsasının sıcak cüzdanı çalındı
Zarar Miktarı: 44.7 milyon dolar
Saldırı Yöntemi: Özel Anahtarın Sızdırılması
19 Eylül 2024'te, bir kripto para borsasının sıcak cüzdanı hackerlar tarafından ihlal edildi. İlgili blok zincirleri arasında Ethereum, BNB Chain, Tron gibi birçok kamu zinciri bulunmaktadır. Borsa, varlık transferi ve para çekme dondurma mekanizmasını hızla başlatsa da, hackerlar 44.7 milyon dolar değerinde varlığı başarıyla çekmeyi başardı. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek riskini yansıtmaktadır ve sektörü daha güvenli varlık depolama çözümleri araştırmaya teşvik etmektedir.
2024'te sıkça meydana gelen güvenlik saldırıları, blockchain sektörünün gelişiminin güvenli bir koruma olmadan mümkün olmadığını bir kez daha hatırlatıyor. Özel anahtar sızıntılarından sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerindeki yükselişe kadar her bir olay derin dersler getirdi. Artan karmaşık saldırı tehditleriyle başa çıkmak için sektörün tüm paydaşları, teknoloji geliştirme, yönetim standartları ve risk yönetimi konularında sürekli yatırım yapmaya ihtiyaç duymaktadır. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla daha güvenli bir blockchain ekosistemi oluşturmayı, kullanıcılar ve yatırımcılar için daha güvenilir bir koruma sağlamayı umuyoruz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2024 Web3'teki en büyük 10 güvenlik olayının kayıpları 2,5 milyar dolara yaklaşıyor, DMM Bitcoin 300 milyon dolarlık saldırıyla birinci sırada.
2024 Yılı Web3'teki En Önemli 10 Güvenlik Olayı
2024 yılında, blockchain sektörü teknolojik yenilik ve ekosistem genişlemesi sürecinde giderek artan güvenlik tehditleriyle karşı karşıya kalmaktadır. Güvenlik izleme platformu verilerine göre, şu ana kadar 2024 yılı Web3 alanında hacker saldırıları, phishing dolandırıcılıkları ve proje sahiplerinin kaçması gibi nedenlerle toplamda 24.91 milyar dolara kadar kayıplar yaşanmıştır.
Bu olaylar sadece özel anahtar yönetimi, akıllı sözleşmeler gibi teknik alanlardaki açıkları ortaya çıkarmakla kalmadı, aynı zamanda sosyal mühendislik saldırıları ve iç yönetimle ilgili potansiyel riskleri de vurguladı. Bu makalede, 2024 Web3 alanındaki en etkili on güvenlik olayı gözden geçirilecek, böylece sektörün bu olaylardan ders çıkarması ve gelecekteki güvenlik tehditlerine daha iyi yanıt vermesi umulmaktadır.
1. DMM Bitcoin
Zarar Miktarı: 304 milyon ABD Doları Saldırı Yöntemi: Özel Anahtar Sızıntısı
31 Mayıs 2024'te, Japonya'nın tanınmış kripto para borsası DMM Bitcoin büyük bir güvenlik kazasıyla karşılaştı. Saldırganlar sızan özel anahtarları kullanarak 300 milyon doların üzerinde Bitcoin'i doğrudan transfer etti ve çalınan fonları hızla 10'dan fazla farklı adrese dağıttı. Bu olay, borsanın özel anahtar yönetimi ve çok katmanlı güvenlik önlemleri konusundaki ciddi eksikliklerini ortaya çıkardı. Borsa, saldırganları takip etmek için zincir üzerindeki izleme ve fonları dondurma girişiminde bulunsa da, çalınan Bitcoin'lerin hızla dağıtılıp karıştırma araçlarıyla temizlenmesi nedeniyle geri alma çalışmaları büyük zorluklarla karşılaştı.
24 Aralık'ta, Japon polisi bu saldırının Kuzey Koreli hacker grubu Lazarus Group tarafından gerçekleştirildiğini doğruladı.
2. PlayDapp
Zarar Miktarı: 2.90 milyon dolar Saldırı yöntemi: Özel anahtar sızıntısı
9 Şubat 2024'te, PlayDapp büyük bir darbe aldı. Hackerlar, özel anahtarları çalarak 2 milyar PLA tokeni basmayı başardı ve bunların başlangıç değeri 36.5 milyon dolardı. Hackerlarla yapılan müzakerelerin başarısız olmasının ardından, saldırganlar kısa süre içinde 15.9 milyar PLA tokeni daha basarak 253.9 milyon dolarlık bir değer elde etti. Çalınan tokenlerin bir kısmı borsalara ulaştıktan sonra, PlayDapp PLA sözleşmesini askıya almak ve yeni PDA token sözleşmesine geçiş yapmak zorunda kaldı. Bu olay, blockchain projelerinin özel anahtar koruma ve acil durum yönetimi konusundaki eksikliklerini gözler önüne serdi.
3. Bir Hindistan Kripto Para Borsa
Zarar Miktarı: 235 milyon ABD doları Saldırı yöntemleri: Ağ saldırıları ve kimlik avı
2024 yılı 18 Temmuz'da, Hindistan'ın en büyük kripto para borsası Safe Wallet çoklu imza cüzdanı hedefli bir saldırıya uğradı. Saldırganlar, sosyal mühendislik yöntemleri kullanarak çoklu imza imzalayıcılarını bir sözleşme güncelleme işlemini imzalamaya ikna etti ve ardından güncellenmiş sözleşme yetkilerini kullanarak cüzdandaki varlıkları tamamen transfer etti. Bu olay, çoklu imza cüzdanlarının yetki yönetimi ve operasyonel şeffaflık konusundaki potansiyel risklerini vurgulamakta ve sektörde projelerin iç risk kontrolü ve güvenlik mekanizmaları üzerine derinlemesine bir düşünmeyi tetiklemektedir.
4. Gala Oyunları
Zarar Miktarı: 216 milyon dolar Saldırı Yöntemi: Erişim Kontrol Açığı
2024 yılında 20 Mayıs'ta, Gala Games'in bir ayrıcalıklı adresi hackerlar tarafından saldırıya uğradı. Saldırganlar, token sözleşmesindeki mint fonksiyonunu çağırarak bir seferde 5 milyar GALA tokeni bastılar. Ardından, hackerlar artırılan tokenleri ETH'ye dönüştürerek doğrudan 216 milyon dolarlık bir zarara neden oldular. Gala Games ekibi olayın ardından acil olarak kara liste işlevini devreye alarak bazı hacker hesaplarını engelledi ve hukuki yollarla bir kısmını geri almaya çalıştı.
5. Ripple kurucu ortağının kişisel cüzdanı çalındı
Zarar Miktarı: 112 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı
31 Ocak 2024'te, Ripple'ın kurucu ortağı Chris Larsen'in dört kişisel cüzdanı hacklendi ve 112 milyon dolarlık XRP çalındı. Bu cüzdanların, donanım cihazlarının çift koruma eksikliği nedeniyle saldırı hedefi haline geldiği düşünülüyor. Olaydan sonra, bir borsa 4.2 milyon dolar değerinde XRP'yi başarıyla dondurdu ve Larsen'e çalınan varlıkların izini sürmesinde yardımcı oldu, ancak çoğu fon merkeziyetsiz borsa ve karıştırma hizmetleri aracılığıyla temizlendi.
6. Munchables
Kayıp Miktarı: 62.5 milyon dolar Saldırı yöntemi: Sosyal mühendislik saldırısı
26 Mart 2024'te, Blast tabanlı Web3 oyun platformu Munchables, nadir bir iç sızma saldırısına uğradı. Saldırganlar, blockchain geliştiricisi kılığında gizlenen hackerlerdi ve uzun süreli sızma yoluyla çekirdek kodu ve hassas anahtarlara erişim sağladılar. Saldırı büyük kayıplara yol açmasına rağmen, topluluk ve ekip baskısı altında hackerlar, nihayetinde çalınan tüm fonları geri iade ettiler. Bu olay, özellikle üçüncü taraf geliştirmelere bağımlı olan blockchain projeleri için tedarik zinciri güvenliğinin önemini ortaya koydu.
7. Bir Türk Kripto Para Borsası
Zarar Miktarı: 55 milyon ABD Doları Saldırı Yöntemi: Özel Anahtar Sızıntısı
22 Haziran 2024'te, Türkiye'nin en büyük kripto para borsası özel anahtar sızıntısı saldırısına uğradı ve 55 milyon dolardan fazla kripto varlık kaybedildi. Bir borsa ekibinin yardımıyla, 5,3 milyon dolarlık çalınan fon başarıyla donduruldu, ancak diğer varlıklar hala geri alınamadı. Bu olay, merkezi borsaların özel anahtar yönetimine yönelik endişeleri artırdı.
8. Radiant Capital
Zarar Miktarı: 53 milyon dolar Saldırı Yöntemi: Özel Anahtar Sızıntısı
17 Ekim 2024'te, Radiant Capital'ın çoklu imza cüzdanı bir hacker tarafından saldırıya uğradı. Düşük eşik olan 3/11 imza doğrulama modelini kullandığı için, hacker 3 imzacıdan birinin özel anahtarını ele geçirerek cüzdan sözleşmesinin mülkiyetini kötü niyetli bir adrese transfer etmek için çevrimdışı imza başlattı ve sonuçta 53 milyon dolar çalındı. Bu saldırı, çoklu imza cüzdanlarının tasarımı ve yönetim mekanizmaları üzerine sektörde bir sorgulama başlattı.
Dikkat çekici bir nokta, Radiant Capital'in bu saldırıdan önce, sözleşme açığı nedeniyle 4.5 milyon dolar kaybetmiş olması ve 1900'den fazla ETH'nin çalınmış olmasıdır. Bu durum, Web3 projelerinin güvenliğe olan öneminin artırılması gerektiğini bir kez daha vurgulamaktadır.
9. Hedgey Finance
Zarar Miktarı: 44,7 milyon dolar Saldırı Yöntemi: Sözleşme Açığı
2024 yılının 19 Nisan'ında, Hedgey Finance, birden fazla zincir üzerindeki sözleşmelere yönelik bir saldırıya uğradı. Hackerlar, ClaimCampaigns sözleşmesinin onay açığını kullanarak, Ethereum ve Arbitrum üzerindeki tokenları başarıyla çekti ve toplam kayıp miktarı 44.7 milyon dolara ulaştı. Bu olay, kod denetiminin önemini, özellikle de token onay mantığının titiz bir şekilde doğrulanmasının gerekliliğini göstermektedir.
10. Bir kripto para borsasının sıcak cüzdanı çalındı
Zarar Miktarı: 44.7 milyon dolar Saldırı Yöntemi: Özel Anahtarın Sızdırılması
19 Eylül 2024'te, bir kripto para borsasının sıcak cüzdanı hackerlar tarafından ihlal edildi. İlgili blok zincirleri arasında Ethereum, BNB Chain, Tron gibi birçok kamu zinciri bulunmaktadır. Borsa, varlık transferi ve para çekme dondurma mekanizmasını hızla başlatsa da, hackerlar 44.7 milyon dolar değerinde varlığı başarıyla çekmeyi başardı. Bu saldırı, merkezi borsa sıcak cüzdan yönetiminin yüksek riskini yansıtmaktadır ve sektörü daha güvenli varlık depolama çözümleri araştırmaya teşvik etmektedir.
2024'te sıkça meydana gelen güvenlik saldırıları, blockchain sektörünün gelişiminin güvenli bir koruma olmadan mümkün olmadığını bir kez daha hatırlatıyor. Özel anahtar sızıntılarından sözleşme açıklarına, iç yönetim hatalarından dış saldırı yöntemlerindeki yükselişe kadar her bir olay derin dersler getirdi. Artan karmaşık saldırı tehditleriyle başa çıkmak için sektörün tüm paydaşları, teknoloji geliştirme, yönetim standartları ve risk yönetimi konularında sürekli yatırım yapmaya ihtiyaç duymaktadır. Gelecekte, sektör işbirliği ve teknolojik yenilikler aracılığıyla daha güvenli bir blockchain ekosistemi oluşturmayı, kullanıcılar ve yatırımcılar için daha güvenilir bir koruma sağlamayı umuyoruz.