Ethereum tarihindeki en büyük güvenlik olayı: Bir platformun Soğuk Cüzdan'ı 14.6 milyar dolar kayıp yaşadı
2025年2月21日UTC时间下午02:16:11,某知名交易平台ın Ethereum Soğuk Cüzdanı, kötü niyetli bir sözleşme güncellemesi nedeniyle fonların çalınmasıyla karşı karşıya kaldı. Bu platformun CEO'su, saldırganların Soğuk Cüzdan imzacısını kötü niyetli işlemi yanlışlıkla imzalamaya ikna etmek için phishing yöntemleri kullandığını belirtti. Bu işlem normal bir işlem olarak kamufle edildi, arayüzde standart işlem olarak gösterildi, ancak aslında donanım cihazına gönderilen veriler kötü niyetli içerik olarak değiştirilmişti. Saldırganlar üç geçerli imza almayı başardı ve Safe çok imzalı cüzdanın uygulama sözleşmesini kötü niyetli bir versiyonla değiştirdi ve böylece fonları çaldılar. Bu olay yaklaşık 14.6 milyar dolarlık bir zarara yol açtı ve Web3.0 tarihindeki en büyük güvenlik olayı haline geldi.
Saldırı Süreci Analizi
Saldırgan, olaydan üç gün önce para transferi arka kapısı ve sözleşme yükseltme işlevi içeren iki kötü niyetli sözleşme dağıttı.
21 Şubat 2025'te, saldırganlar üç çoklu imza cüzdanının sahibini kötü niyetli bir işlemi imzalamaya ikna ederek Safe'in uygulama sözleşmesini arka kapı içeren kötü niyetli bir versiyona yükseltti.
Saldırı işlemi içindeki "operation" alan değeri "1" olarak, GnosisSafe sözleşmesinin "deleGatecall" işlemini gerçekleştirdiğini belirtir.
Bu işlem, saldırgan tarafından dağıtılan başka bir akıllı sözleşmeye bir yetkilendirilmiş çağrı gerçekleştirdi; bu sözleşmede bir "transfer()" fonksiyonu bulunuyor ve çağrıldığında sözleşmenin ilk depolama alanını değiştiriyor.
Gnosis Safe sözleşmesinin ilk depolama alanını değiştirerek, saldırgan uygulama sözleşmesi adresini (yani "masterCopy" adresini) değiştirdi.
Saldırganların kullandığı sözleşme yükseltme yöntemi, şüphe uyandırmamak için özel olarak tasarlanmıştır. İmzalayanın bakış açısından, imzalanan veriler basit bir "transfer(address, uint256)" fonksiyon çağrısı gibi görünmektedir, şüpheli bir "yükseltme" fonksiyonu gibi değil.
Güncellenmiş kötü niyetli akıllı sözleşme, "sweepETH()" ve "sweepERC20()" arka kapı fonksiyonlarını içermektedir. Saldırganlar bu fonksiyonları çağırarak Soğuk Cüzdan içindeki tüm varlıkları transfer etti.
Açık Kaynak Analizi
Bu olayın temel nedeni başarılı bir kimlik avı saldırısıdır. Saldırgan, cüzdan imzalayıcısını kötü niyetli işlem verilerini imzalamaya kandırarak, sözleşmenin kötü niyetli bir şekilde yükseltilmesine yol açmış ve saldırgana soğuk cüzdanı kontrol etme ve tüm fonları transfer etme imkanı tanımıştır.
Platformun CEO'sunun açıklamasına göre, olay sırasında ekip rutin soğuk ve sıcak cüzdan varlık transfer işlemleri gerçekleştirmekteydi. Tüm imzalayıcılar arayüzde gördükleri adreslerin ve işlem verilerinin doğru olduğunu ve URL'nin resmi olarak doğrulandığını belirtti. Ancak, işlem verileri imza için donanım cüzdanına gönderildiğinde, gerçek içerik değiştirilmişti. CEO, işlem detaylarını donanım cihazı arayüzünde ikinci kez doğrulamadığını kabul etti.
Şu anda, saldırganların arayüzü nasıl değiştirdiği konusunda kesin bir görüş yok. Zincir üstü analistler tarafından sağlanan kanıtlar, bu saldırının tanınmış bir hacker grubu tarafından planlandığını ve gerçekleştirildiğini göstermektedir.
Deneyimler ve Önleme Önerileri
Bu olay, 16 Ekim 2024'te bir DeFi platformunda gerçekleşen 50 milyon dolarlık hırsızlık vakasıyla benzerlikler taşımaktadır. Her iki olay da cihazlara sızma ve arayüz müdahalesini içermektedir. Bu tür saldırıların giderek artması göz önüne alındığında, aşağıdaki iki konuya odaklanmamız gerekiyor:
1. Cihaz İhlallerini Önleme
Cihaz güvenliğini artırma: Sıkı uç nokta güvenlik politikaları uygulamak, gelişmiş güvenlik çözümleri dağıtmak.
Özel imza cihazı kullanın: İzole bir ortamda işlem imzalamak için çok amaçlı cihazlar kullanmaktan kaçının.
Geçici işletim sistemi kullanımı: Kritik işlemler için kalıcı olmayan bir işletim sistemi yapılandırarak ortamın temiz olmasını sağlamak.
Balıkçı simülasyon tatbikatları düzenlemek: Yüksek riskli kişilere düzenli olarak balıkçı saldırı simülasyonları yaparak güvenlik bilincini artırmak.
Kırmızı takım saldırı ve savunma tatbikatı yapmak: Gerçek saldırı senaryolarını simüle ederek mevcut güvenlik önlemlerini değerlendirmek ve güçlendirmek.
2. Kör imza riskini önleyin
Etkileşim platformunu dikkatlice seçin: Sadece güvenilir platformlarla etkileşimde bulunun, kimlik avı bağlantılarından kaçınmak için resmi yer imlerini kullanın.
Donanım cüzdanı ikinci doğrulama: Donanım cihazının ekranında her bir işlem detayını dikkatlice onaylayın.
İşlem simülasyonu: İmza öncesi işlem sonuçlarını simüle etme, doğruluğunu doğrulama.
Komut satırı aracını kullanın: Grafik arayüzüne olan bağımlılığı azaltın, daha şeffaf bir işlem verisi görünümü elde edin.
Anormal durumlarda durdurma prensibi: Herhangi bir anormallik tespit edildiğinde imzalamayı derhal durdurun ve soruşturma başlatın.
İki cihaz doğrulaması uygulayın: İşlem verilerini doğrulamak için bağımsız bir cihaz kullanın ve okunabilir imza doğrulama kodu oluşturun.
Bu olay, Web3.0 sektörünün operasyon güvenliğinde önemli açıklar barındırdığını bir kez daha vurgulamaktadır. Saldırı yöntemlerinin sürekli olarak evrim geçirmesiyle birlikte, işlem platformları ve Web3.0 kuruluşları güvenlik koruma seviyelerini tamamen artırmalı ve dış tehditlerin sürekli evrimine karşı dikkatli olmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
9
Repost
Share
Comment
0/400
SignatureAnxiety
· 08-18 22:13
Neden imzalamak bu kadar zor?
View OriginalReply0
AllInDaddy
· 08-18 20:46
Aman Tanrım, bu büyük zarar
View OriginalReply0
ForkThisDAO
· 08-17 20:37
Başka bir borsa mahkum oldu.
View OriginalReply0
RetiredMiner
· 08-17 03:40
Domuz kasaplığı dolandırıcılığı soğuk cüzdan versiyonuna mı evrildi?
View OriginalReply0
GasGuru
· 08-17 03:39
Başlıyoruz! Çok imza da güvenilir değil.
View OriginalReply0
SolidityStruggler
· 08-17 03:36
Her gün güvenlikten bahsediyoruz, her gün soyuluyoruz.
Ethereum tarihindeki en büyük güvenlik olayı: borsa Soğuk Cüzdan'dan 14.6 milyar dolar çalındı
Ethereum tarihindeki en büyük güvenlik olayı: Bir platformun Soğuk Cüzdan'ı 14.6 milyar dolar kayıp yaşadı
2025年2月21日UTC时间下午02:16:11,某知名交易平台ın Ethereum Soğuk Cüzdanı, kötü niyetli bir sözleşme güncellemesi nedeniyle fonların çalınmasıyla karşı karşıya kaldı. Bu platformun CEO'su, saldırganların Soğuk Cüzdan imzacısını kötü niyetli işlemi yanlışlıkla imzalamaya ikna etmek için phishing yöntemleri kullandığını belirtti. Bu işlem normal bir işlem olarak kamufle edildi, arayüzde standart işlem olarak gösterildi, ancak aslında donanım cihazına gönderilen veriler kötü niyetli içerik olarak değiştirilmişti. Saldırganlar üç geçerli imza almayı başardı ve Safe çok imzalı cüzdanın uygulama sözleşmesini kötü niyetli bir versiyonla değiştirdi ve böylece fonları çaldılar. Bu olay yaklaşık 14.6 milyar dolarlık bir zarara yol açtı ve Web3.0 tarihindeki en büyük güvenlik olayı haline geldi.
Saldırı Süreci Analizi
Saldırgan, olaydan üç gün önce para transferi arka kapısı ve sözleşme yükseltme işlevi içeren iki kötü niyetli sözleşme dağıttı.
21 Şubat 2025'te, saldırganlar üç çoklu imza cüzdanının sahibini kötü niyetli bir işlemi imzalamaya ikna ederek Safe'in uygulama sözleşmesini arka kapı içeren kötü niyetli bir versiyona yükseltti.
Saldırı işlemi içindeki "operation" alan değeri "1" olarak, GnosisSafe sözleşmesinin "deleGatecall" işlemini gerçekleştirdiğini belirtir.
Bu işlem, saldırgan tarafından dağıtılan başka bir akıllı sözleşmeye bir yetkilendirilmiş çağrı gerçekleştirdi; bu sözleşmede bir "transfer()" fonksiyonu bulunuyor ve çağrıldığında sözleşmenin ilk depolama alanını değiştiriyor.
Gnosis Safe sözleşmesinin ilk depolama alanını değiştirerek, saldırgan uygulama sözleşmesi adresini (yani "masterCopy" adresini) değiştirdi.
Saldırganların kullandığı sözleşme yükseltme yöntemi, şüphe uyandırmamak için özel olarak tasarlanmıştır. İmzalayanın bakış açısından, imzalanan veriler basit bir "transfer(address, uint256)" fonksiyon çağrısı gibi görünmektedir, şüpheli bir "yükseltme" fonksiyonu gibi değil.
Güncellenmiş kötü niyetli akıllı sözleşme, "sweepETH()" ve "sweepERC20()" arka kapı fonksiyonlarını içermektedir. Saldırganlar bu fonksiyonları çağırarak Soğuk Cüzdan içindeki tüm varlıkları transfer etti.
Açık Kaynak Analizi
Bu olayın temel nedeni başarılı bir kimlik avı saldırısıdır. Saldırgan, cüzdan imzalayıcısını kötü niyetli işlem verilerini imzalamaya kandırarak, sözleşmenin kötü niyetli bir şekilde yükseltilmesine yol açmış ve saldırgana soğuk cüzdanı kontrol etme ve tüm fonları transfer etme imkanı tanımıştır.
Platformun CEO'sunun açıklamasına göre, olay sırasında ekip rutin soğuk ve sıcak cüzdan varlık transfer işlemleri gerçekleştirmekteydi. Tüm imzalayıcılar arayüzde gördükleri adreslerin ve işlem verilerinin doğru olduğunu ve URL'nin resmi olarak doğrulandığını belirtti. Ancak, işlem verileri imza için donanım cüzdanına gönderildiğinde, gerçek içerik değiştirilmişti. CEO, işlem detaylarını donanım cihazı arayüzünde ikinci kez doğrulamadığını kabul etti.
Şu anda, saldırganların arayüzü nasıl değiştirdiği konusunda kesin bir görüş yok. Zincir üstü analistler tarafından sağlanan kanıtlar, bu saldırının tanınmış bir hacker grubu tarafından planlandığını ve gerçekleştirildiğini göstermektedir.
Deneyimler ve Önleme Önerileri
Bu olay, 16 Ekim 2024'te bir DeFi platformunda gerçekleşen 50 milyon dolarlık hırsızlık vakasıyla benzerlikler taşımaktadır. Her iki olay da cihazlara sızma ve arayüz müdahalesini içermektedir. Bu tür saldırıların giderek artması göz önüne alındığında, aşağıdaki iki konuya odaklanmamız gerekiyor:
1. Cihaz İhlallerini Önleme
2. Kör imza riskini önleyin
Bu olay, Web3.0 sektörünün operasyon güvenliğinde önemli açıklar barındırdığını bir kez daha vurgulamaktadır. Saldırı yöntemlerinin sürekli olarak evrim geçirmesiyle birlikte, işlem platformları ve Web3.0 kuruluşları güvenlik koruma seviyelerini tamamen artırmalı ve dış tehditlerin sürekli evrimine karşı dikkatli olmalıdır.