Contact us
Contact us
Jump to

Son Dönemde Gerçekleşen Side Chain Saldırılarına Kapsamlı Bir Bakış

Blokzinciri teknolojilerinin gelişimi her zaman güllük gülistanlık değil… Son bir yıl içinde dünya, toplamda 1,5 milyar doları aşan üç büyük yan zincir (side chain) saldırısına tanık oldu. Her ne kadar olumsuz sonuçları en aza indirmek için çeşitli önlemler alınmış olsa da, gidişat böyle devam ederse insanların yan zincirlere karşı tutumu yakın gelecekte muhtemelen değişecek. Bu makale, öncelikle yan zincirin blokzincir ekosistemi için ne anlama geldiğini kısaca inceleyecek, ardından geleceği şekillendiren son saldırılara (özellikle Poly, Wormhole ve Ronin Network saldırılarına) değinecek ve son olarak bu saldırılardan çıkarılması gereken temel dersleri analiz edecektir.

Yan Zincir Nedir?

Genel anlamda yan zincir, birincil blokzincirle (ana zincir ya da mainnet) iki yönlü bir köprü/bağlantı aracılığıyla paralel çalışan ayrı bir blokzincir ağıdır.¹ Bu tür bir mekanizma sayesinde, birçok blokzincir bağımsızlıklarını ve kendi kurallarını, işlevlerini ve protokollerini koruyarak küresel ve merkeziyetsiz bir ağ oluşturabilir. Ayrıca bu sistem, blokzincirlerin güvenliğini ve gizliliğini artırmalarına ve ağın işletilmesi için ek güvene olan ihtiyacı azaltmalarına olanak tanır.²

Yan zincirlerin temel amacı, blokzincirler arası işlemleri daha düşük maliyetle ve daha kısa sürede gerçekleştirmek, mevcut blokzincirleri ölçeklenebilir ve daha işlevsel hâle getirmektir. Bu bağlamda, iki yönlü bağlantılar ve akıllı sözleşmeler, yan zincirlerin işleyişindeki temel unsurlardır.  

Peki yan zincirler nasıl çalışır? İlginçtir ki, dijital varlıkların ana zincir ile yan zincir arasında gerçek bir aktarımı olmaz; tüm süreç temsili olarak gerçekleşir. Bir kullanıcı dijital varlığı başka bir adrese göndermek istediğinde, ilgili varlık mevcut blokzincirde kilitlenir. Aynı anda, işlem akıllı sözleşmeler tarafından onaylandıktan sonra diğer blokzincirde eşdeğer miktarda varlık serbest bırakılır. Bu aşamada “doğrulayıcılar”, zincirler arası işlemleri onaylamak ve sahte süreçleri tespit etmek açısından kritik rol oynar.     

Yan zincirlerin işleyiş prensibini özetleyen güzel örneklerden biri aşağıdadır:

metin, saat içeren bir resim Açıklama otomatik olarak oluşturuldu

Şekil 1  https://www.ulam.io/blog/sidechains-and-their-applications-blockchain/ 

Yan zincirlerin yenilikçi yönü, dijital varlıkların (tokenlar ve coinler dahil) blokzincirler arasında serbestçe hareket etmesini sağlamasıdır. Ancak bir yan zincir kurmadan ve çalıştırmadan önce dikkate alınması gereken birçok dezavantaj da mevcuttur.  

Geleceği Şekillendiren Son Yan Zincir Saldırıları

  1. Poly Network

Poly Network, Bitcoin, Ethereum, Ontology ve Binance Smart Chain gibi çeşitli blokzincirler arasında birlikte çalışabilirliği sağlamak için kurulmuş bir DeFi (merkeziyetsiz finans) platformudur. Kullanıcıların farklı blokzincirler arasında token transferi veya takası yapmalarına imkân tanıyarak eşler arası işlemleri kolaylaştırır.   

Ağustos 2021’de bir hacker, Poly Network’teki sözleşme çağrılarında bir güvenlik açığı buldu³ ve bugüne dek gerçekleşmiş en büyük DeFi saldırısıyla dünya sarsıldı: Ethereum, Binance Chain ve Polygon olmak üzere üç farklı blokzincirden toplam 611 milyon dolar çalındı. 

Saldırının ardından Poly Network, Twitter üzerinden olayı doğruladı ve hacker’ın cüzdan adreslerini yayınlayarak tüm madencilerden ve borsalardan bu adresleri kara listeye almalarını istedi. Ayrıca hacker’a “Sevgili Hacker” hitabıyla başlayan bir mektup yazarak parayı iade etmesini talep etti. Şaşırtıcı biçimde, hacker’a “Bay White Hat” unvanıyla 500.000 dolarlık bir ödül ve baş güvenlik danışmanı olma teklifi sunuldu, ki bu da kamuoyunun tepkisini çekti.  

Bu sırada hacker, parayı iade etmek için çok imzalı (multi-sig) bir cüzdan talep etti ve sözünü tutarak tüm parayı (500.000 dolar hariç) aşamalı olarak geri gönderdi. 

  1. Wormhole

Wormhole, Ethereum ve Solana arasında çalışan bir köprü (bridge) olup, Şubat 2022 başında 320 milyon dolarlık bir saldırıya uğradı. Ancak köprüyü yayımlayan şirket olan Jump Crypto, çalınan tüm varlıkları nakit olarak yerine koydu ve kamuoyundaki memnuniyetsizliği bastırdı.

  1. Ronin Network

Ronin Network, Ethereum tabanlı, özel olarak inşa edilmiş bir yan zincirdir ve Vietnamlı bir şirket olan Sky Mavis tarafından geliştirilen en popüler NFT play-to-earn oyunlarından biri olan “Axie Infinity”yi çalıştırır. 

Axie Infinity’nin popülerliği artarken, Sky Mavis oyun içi işlemleri hızlandırmak ve maliyetleri düşürmek için Ronin Network’ü hayata geçirdi. Ronin Network, Ethereum ağına bir köprü ile bağlıdır; bu köprüde bir zincirdeki token’lar akıllı sözleşmelerde kilitlenirken, diğer zincirdeki temsili token’lar serbestçe hareket eder.

Ancak 29 Mart 2022’de Ronin Network, Ethereum ağından Ronin köprüsü aracılığıyla iki işlemle 173.600 ETH ve 25,5 milyon USDC’nin (toplamda 622 milyon dolar) çalındığını duyurdu. Bu soygun 23 Mart’ta gerçekleşmişti fakat ekip durumu ancak altı gün sonra, bir kullanıcının 5.000 ETH çekemediğini bildirmesiyle fark edebildi.  

Saldırının başarılı olmasının temel nedeni, Ronin köprüsündeki zayıf doğrulayıcı (validator) yapısıydı. Yukarıda kısaca açıklandığı üzere, doğrulayıcılar yan zincirlerin güvenliğinde önemli rol oynar. Ancak saldırı anında Ronin sadece 9 doğrulayıcı düğüme sahipti ve sadece 5 tanesi işlemlerin geçerliliğini onaylamak için yeterliydi. Dolayısıyla, çoğunluğu kontrol eden biri sahte işlemleri onaylayabiliyordu. 4 düğüm doğrudan Sky Mavis tarafından işletildiğinden, hacker Sky Mavis sistemlerine ve özel anahtarlara erişerek bu 4 düğümü ele geçirdi ve sadece bir doğrulayıcı daha elde ederek ağı kontrol altına aldı.  

Hackerlar bu son doğrulayıcıyı da Sky Mavis’in Kasım 2021’de Axie DAO ile yaptığı bir düzenleme sayesinde ele geçirdi. Sky Mavis, yoğun kullanıcı yükü nedeniyle DAO’dan ücretsiz işlem imzalama desteği almıştı. Bu uygulama Aralık 2021’de sona erse de erişim iptal edilmemişti. Böylece hacker, Axie DAO doğrulayıcısının son imzasını da “gas-free RPC” kullanarak aldı ve köprüyü sessizce boşalttı.⁵

Saldırının ardından Sky Mavis, Ronin köprüsü ve Katana DEX’in kapatılması, doğrulayıcı sayısının 21’e çıkarılması, eşik değerinin 10/11 olarak güncellenmesi, altyapının taşınması ve kolluk kuvvetleri ile yatırımcılarla iş birliği gibi çeşitli önlemler aldı. 

Geçtiğimiz hafta Sky Mavis, Nansen, Delphi Digital, Stable Node, Animoca Brands ve Dialectic’i doğrulayıcı düğüm havuzuna kattığını ve çekim limitleri, daha fazla yönetişim fonksiyonu gibi adımlarla güvenliği ve merkeziyetsizliği artırmayı hedeflediklerini duyurdu. Ayrıca Binance liderliğinde, Animoca Brands, a16z, Dialectic ve Paradigm’in katıldığı yatırım turunda 150.000 dolar topladılar.⁸ Kalan zarar, Sky Mavis ve Axie’nin bilançosuyla karşılanacak.   

Sky Mavis ayrıca, ağdan aşırı miktarda çekim yapılmak istendiğinde işlemleri durduracak bir “circuit breaker” yöntemi uygulamayı planlıyor. Bu durumda köprü, doğrulama tamamlanana kadar kapalı kalacak.⁹

Son Yan Zincir Saldırılarından Çıkarılacak Dersler

Son bir yılda yaşanan bu yan zincir saldırıları, bu mekanizmanın saldırılara karşı ne kadar savunmasız olduğunu açıkça gösteriyor. Ana blokzincirden yan zincirlere geçmek işlemleri daha hızlı ve ucuz hâle getirse de, bu geçiş ağı kaçınılmaz şekilde daha merkezi ve dolayısıyla sistemsel hatalara, saldırılara ve sızıntılara açık hâle getiriyor.  

Ethereum’un kurucusu Vitalik Buterin’in de belirttiği gibi, kriptonun geleceği iyi işleyen çok zincirli yapılarda olabilir; ancak yan zincirlerin aynı kaderi paylaşması pek olası değil çünkü zincirler arası varlık transferi, bireysel blokzincirler içindeki işlemler kadar güvenli olmayacak.¹⁰

Bu noktada, “güvensizlik” (trustlessness) ilkesi önem kazanıyor. Örneğin Bitcoin, güveni sektör katılımcıları arasında dağıtarak güvenilirlik sağlar. Öte yandan, yan zincirler (Ronin örneğinde görüldüğü gibi) sadece birkaç doğrulayıcı tarafından denetlendiğinde ne merkeziyetsizdir ne de güvenilirdir.  

Yakın gelecekte bu tarz saldırıları çok daha fazla göreceğimiz söylenebilir. Ancak yaşanan saldırılar, gerçekten dağıtılmış ağların önemini yeniden değerlendirmemize yol açtı. Bu nedenle, yayıncı şirketlerin ağ güvenliğini güçlendirmek, yan zinciri mümkün olduğunca merkeziyetsiz ve güvenilir hâle getirmek ve kullanıcıları potansiyel riskler hakkında bilgilendirmek gibi çeşitli önlemler alması gerekmektedir.

  1.  https://www.coindesk.com/learn/an-introduction-to-sidechains/ (Accessed on 12/04/2022).
  2.  https://coinmarketcap.com/alexandria/glossary/side-chain (Accessed on 12/04/2022).
  3.  https://decrypt.co/93874/biggest-defi-hacks-heists (Accessed on 12/04/2022).
  4. https://www.coindesk.com/business/2022/04/08/axie-infinity-builder-takes-full-responsibility-for-625m-ronin-hack-exec-says/ (Accessed on 12/04/2022).
  5.  https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w (Accessed on 12/04/2022).
  6.  They will continue the operations once the security upgrades and internal audits are completed. Sky Mavis foresees that this may take several weeks. https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w (Accessed on 12/04/2022).
  7. The company also provided an application form in the newsletter for validators with a high degree of alignment and technical ability (Accessed on 12/04/2022).
  8.  a16z, Paradigm, and Accel were also among the companies that participated in Sky Mavis' Series B fund raise in October 2021.
  9. https://vpsfix.com/17799/all-you-need-to-know-about-axie-infinitys-ronin-bridge-hack/ (Accessed on 12/04/2022).
  10. https://www.coindesk.com/layer2/2022/04/05/ronin-attack-shows-cross-chain-crypto-is-a-bridge-too-far/ (Accessed on 12/04/2022).
Any information provided herein is for general informational purposes only and cannot be regarded as legal, financial, accounting, or tax advice apart from the boundaries of the Republic of Turkey. For avoidance of any doubt, Vircon Legal does not provide legal advisory services in the United States.
Facebook Twitter Youtube
© 2024 Vircon Legal. All rights reserved
Privacy & Policy