Curve Finance’in web sitesinin bu ayın başlarında büyük bir DNS saldırısına maruz kalmasının ardından hacker’ların kripto para şirketlerini hedef almak için kullandığı karmaşık ve yeni yöntemlere dair endişeler giderek artıyor. Sosyal medya hesaplarının ele geçirilmesinden ön yüz (frontend) saldırılarına ve akıllı sözleşme açıklarına kadar web3 ekosistemi sürekli bir tehditle karşı karşıya.
DeFi ve kripto para popüler hale geldikçe, daha fazla kötü niyetli gözleri üzerine çekiyor. Saldırılar artık neredeyse kaçınılmaz hale geldi. Peki, direnç nasıl sağlanıyor? Curve Finance’in kurucusu Michael Egorov, BeInCrypto ile yaptığı özel röportajda bu konuları ve daha fazlasını ele aldı.
Curve Finance Saldırıya Yanıt Veriyor
Bu yıl kripto tarihindeki en büyük hırsızlık gerçekleşti ve bu izole bir olay değildi. DeFi ekosistemine yönelik sofistike saldırılar artıyor; Coinbase’de içerden oltalama, protokol seviyesinde zkSync’te açıklar ve Curve Finance’de büyük bir DNS saldırısı gibi.
Egorov, Web3 endüstrisinin yapısal zayıflıklarını ve bu anı nasıl karşılayacaklarını tartıştı.
“Geleneksel web güvenlik sorunları aslında yeni bir şey değil. Web2 dünyasında, bu tür sorunların zararları genellikle kontrol edilebilir, bu yüzden bu büyük bir problem değildi. Ancak kripto para dünyasında, tüm işlemler neredeyse anında kesinleştiği için durum çok farklı. Sonuç olarak, bu sektör için güvenlik standartları çok daha yüksek ve bugünün internet altyapısı bu talepleri karşılamak için inşa edilmemiş,” dedi.
Curve Finance, önemli bir merkeziyetsiz kripto para borsası olarak, DeFi’nin zayıflıkları hakkında güçlü bir geçmişe sahip. Uzun tarihi boyunca, Curve, birçok kez kritik güvenlik olaylarıyla karşılaştı ve yönetmeyi başardı. Bu da şirketi sürekli olarak güvenlik yaklaşımını uyarlamaya zorladı.
Ancak, bu ayın başlarında, borsanın web sitesi en son hedef oldu. Sonuç olarak, DEX resmi alan adını değiştirmek zorunda kaldı. Egorov’a göre, sorun nihayetinde bildiğimiz internetin doğasında yatıyor.
Egorov, “Gördüğüm kadarıyla, teknoloji açısından daha iyi yapabileceğimiz bir şey yoktu. Bu seferki sorun dış kaynaklıydı. Bence web uygulamalarının nasıl inşa edildiği konusunda temel bir problem var. Güvenliği öncelik olarak ele alarak sıfırdan inşa edilmiş güvenli masaüstü uygulamalarına ihtiyacımız var,” diye ifade etti.
Özellikle, Curve saldırısını ve diğer son saldırıları mümkün kılan birkaç yapısal zayıflığa dikkat çekti. Web3 uygulamaları hala bir tür statik web sitesiyle etkileşimde bulunmak zorunda, site alan adını ön yüz barındırma ile bağlamak için DNS kayıtçılarını kullanıyorlar.
Saldırganlar bu sunucuları kandırır, ele geçirir veya rüşvet verirse, bu çok etkili bir saldırı yolu açar, bu taktik yakın zamanda Curve üzerinde kullanıldı.
Bu, bugünün eski ‘Web2’ internet altyapısındaki birkaç yapısal sorundan sadece biri. Örneğin, web sayfaları, her biri ayrı ayrı denetlenmesi zor olan binlerce JavaScript mikro pakete dayanıyor.
Ele geçirilmiş paketler, DeFi protokolünün güvenliğini çeşitli şekillerde gizlice ve etkili bir şekilde aşabilir. Yani, Web3 birçok Web2 saldırısına karşı savunmasız.
Web3 Sorunları Yeni Çözümler Gerektiriyor
Egorov, kripto para endüstrisinin bu sorunları kalıcı olarak çözmek için büyük yapısal değişiklikler yapması gerektiğini belirtti. Örneğin, DNS saldırılarından kaçınmak için blok zinciri tabanlı bir yol olarak Ethereum Name Service (ENS) önerdi.
ENS benimsenirse etkili olabilir, ancak ana akım haline gelmesi için yeterli tarayıcı desteğine sahip değil.
Curve, daha fazla Web3 tabanlı güvenlik önlemleriyle saldırıları önlemek için kurumsal desteği alsa bile, yeni ekosistem bizim için biraz tanınmaz hale gelebilir.
Örneğin, Egorov, web trafiğinin tüm para kazanma yapısının değişmesi gerektiğini belirtti. Bunun yerine, büyük oyuncuların bakım maliyetlerini üstlenmesi gerekecek ve bu da artan güvenlikle teşvik edilecektir.
“Böyle bir uygulama inşa etmek çok iş gerektirir — DeFi arayüzlerini yeniden uygulamak, web teknolojilerinden tamamen kaçınmak ve muhtemelen para kazanma yeteneği olmadan. Ancak, özellikle önemli kullanıcı fonlarını yöneten kurumlar arasında bunun için güçlü bir talep olduğuna inanıyorum,” diye belirtti.
Bu çözümler şüphesiz radikal, ancak Egorov bu sorunların teknolojik değil, sosyal olduğunu vurguladı. Mevcut blok zinciri araştırmalarını kullanarak inşa edilmesi mümkün olan güvenlik önlemleri önerdi, ancak bunlar yeterli olacaktır.
Başka bir deyişle, büyük saldırıların hızı artmaya devam ederse, bu reformlar için daha fazla heyecan yaratabilir. Curve Finance, bu zayıflıkların olmadığı bir Web3 geleceği inşa etmeye hazır.
Ancak mevcut güvenlik tehditleri devam ederken, Egorov’un DeFi için tavsiyesi daha özel masaüstü uygulamaları inşa etmek.
Curve Kurucusu, “Daha önce de belirttiğim gibi, ön yüz uygulamaları inşa etme modeli çok güvensiz ve çok geniş bir saldırı yüzeyine sahip. Daha iyi bir güvenlik seviyesi elde etmek için, DeFi etkileşimleri ideal olarak özel masaüstü uygulamalarına kaydırılmalıdır,” diye konuştu.
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.
