CoinDesk
Bugüne kadar kripto hackleri, köprü saldırıları ve DeFi açıkları nedeniyle yaklaşık 16,69 milyar dolar kaybedildi ve bu toplamın yaklaşık %40'ı, blokzincir veya akıllı kontrat kodundaki kusurlar yerine ele geçirilmiş özel anahtarlara dayanıyor; veriler DeFiLlama'ya ait. Güvenlik firması CertiK, CoinDesk'e yaptığı açıklamada, operasyonel güvenlik olaylarının yükselişte olduğunu ve akıllı kontrat açıklarının azaldığını söyledi. Bu durum, projoların denetim harcamalarını koda yoğunlaştırmasıyla birlikte saldırganların en az dirençle karşılaştıkları yolu izlediklerine işaret ediyor.
Neden önemli
Tek-anahtarlı mimari, sektörü açıkta bırakan kök tasarım tercihidir. Pharos'un kurucu ortaklarından ve CEO'su Wish Wu bunu açıkça ifade etti: blokzincir altyapısının büyük çoğunluğu tek kullanıcı, tek anahtar modeli için inşa edildi; çalınan bir anahtar her şeyi anında boşaltır. Oysa geleneksel finans onlarca yıldır görev ayrılığı ve çoklu onaylayıcı normlarına yaslanıyor. ZK ispat katmanı Cysic'in kurucusu Le Fan, özel anahtar hacklerini sektörün sürekli olarak kriptografi sorunu olarak yanlış etiketlediği bir anahtar yönetimi başarısızlığı olarak nitelendirdi.
Şubat 2025'teki Bybit hack'i, genişleyen saldırı yüzeyini somutlaştırdı. Saldırganlar, üçüncü taraf bir geliştirici aracının yazılım tedarik zincirini ele geçirdi, cüzdan arayüzüne zararlı kod sıkıştırdı ve yöneticileri 1,5 milyar dolarlık Ethereum'u imzalamaları için kandırdı. Bir anahtar kullanışlı olacak kadar sıcak hale geldiğinde, çalışan servislerin, bulut kimlik bilgilerinin ve insan operatörlerin içinde yaşar ve sürekli ihlal edilen de bu çevreleyen katmandır.
Piyasa etkisi
Önlemler netleşiyor. Çok partili hesaplama (MPC) ve eşik imzalama, imzalama sürecini böldüğü için tam bir anahtar hiçbir zaman tek bir yerde bulunmuyor ve saldırganlara tek bir ihlal hedefi bırakmıyor. Hesap soyutlama, harcamalara limitler, onaylanmış adresler ve sosyal kurtarma vasiilerini doğrudan cüzdana yerleştiriyor; böylece ele geçirilmiş bir imzalayan tek başına fonları boşaltamıyor. Passkey tabanlı giriş, donanım cüzdanı zorunluluğu ve daha sıkı anahtar yönetimi SOP'ları yığını tamamlıyor. Wu, benimsenmenin dengesiz olduğunu, çoğu zincirin güvenliği hâlâ protokol katmanına yerleştirmek yerine isteğe bağlı bir eklenti olarak eklediğini, kurumsal paranın bir sonraki dalgasının ilk olarak bakacağı açığın tam da bu olduğunu söyledi.
Sıkça sorulan sorular
-
Kripto hack kayıplarının ne kadarı özel anahtarlara dayanıyor?
Bugüne kadar kripto hackleri, köprü saldırıları ve DeFi açıkları nedeniyle kaybedilen yaklaşık 16,69 milyar doların %40 kadarı, akıllı kontrat veya blokzincir kusurları yerine ele geçirilmiş özel anahtarlara bağlandı (CoinDesk'in aktardığı DeFiLlama verileri).
-
Özel anahtar başarısızlıkları neden akıllı kontrat açıklarını geride bırakıyor?
CertiK'e göre projeler denetim harcamalarını akıllı kontratlara yoğunlaştırırken operasyonel katmanları açıkta bıraktı. Operasyonel anahtar yönetimi, gizli depolar, yazılım bağımlılıkları ve insan operatörler saldırganlar için en az dirençli yol haline geliyor.
-
Çok partili hesaplama (MPC) nedir ve anahtar riskini nasıl azaltır?
MPC ve eşik imzalama, imzalama sürecini tam özel anahtarın tek bir anda tek bir yerde var olmayacağı şekilde böler. Saldırganın çalabileceği tek bir yapı olmadığından tek bir ihlal fonları boşaltamaz.
-
Hesap soyutlama cüzdan güvenliğini nasıl değiştiriyor?
Hesap soyutlama cüzdanları, yerleşik kuralları olan akıllı kontrat hesaplarına dönüştürür: harcama limitleri, onaylı adres listeleri ve sosyal kurtarma vasiileri. Bu sayede ele geçirilmiş bir imzalayan hesabı tek başına boşaltamaz.
-
Şubat 2025 Bybit hackini dönüm noktası yapan ne oldu?
Saldırganlar üçüncü taraf bir geliştirici aracının yazılım tedarik zincirini ele geçirdi, Bybit'in cüzdan arayüzüne zararlı kod enjekte etti ve yöneticilerini yaklaşık 1,5 milyar dolarlık Ethereum'u imzalamaları için kandırdı. Açık, protokolün kendisindeki bir kod hatasından değil insanlardan ve araçlardan geçti.
Crypto News
WuBlockchain
WatcherGuru
TheBlock
Crypto Rank News
Lookonchain