Blockchain'in Aşil Topuğu: Doğrulayıcılar Nasıl Milyar Dolarlık Tehdidin Hedefi Haline Geldi?

Araştırmacılar, daha az araştırılan bir konuya, yani blockchain ağlarını destekleyen, doğrulayıcılar olarak bilinen merkezi sunucuların güvenliğine odaklanarak, blockchain güvenliğinin derinlemesine bir analizini gerçekleştirdiler. Bu doğrulayıcılar, çeşitli blockchain protokollerinde staking hizmetleri sunan bir şirket olan InfStones tarafından sağlandı.

Araştırmacılar, bu doğrulayıcıların güvenliğini tehlikeye atmalarına olanak tanıyan bir güvenlik açıkları zinciri keşfettiler. Araştırma ekibi, blockchain doğrulayıcılarını geleneksel sunucular gibi ele alan ve klasik hackleme tekniklerini derinlemesine inceleyen farklı bir yaklaşım benimsedi.

Ortaya çıkarılan güvenlik açıkları yalnızca bu doğrulayıcılar üzerinde kontrol sağlamakla kalmadı, aynı zamanda kodun yürütülmesine ve özel anahtarların çıkarılmasına da olanak tanıdı ve potansiyel olarak aralarında ETH, BNB, SUI ve APT'nin de bulunduğu çeşitli kripto para birimlerinde bir milyar doları aşan kayıplara yol açtı.

Araştırmalarını sağlam güvenliğiyle bilinen Sui blockchain ağıyla başlattılar. Sui Explorer'da bir API çağrısı kullanarak aktif doğrulayıcıların ve IP adreslerinin bir listesini elde ettiler. Daha fazla araştırma onları InfStones tarafından yönetilen belirli bir sunucuya yönlendirdi ve bu da ilgilerini çekti.

Hedeflenen sunucuda, günlük dosyalarını okumak için tasarlanmış açık kaynaklı bir Tailon aracını çalıştıran açık bir bağlantı noktası (55555/tcp) vardı. Tailon'daki bir güvenlik açığından yararlanan araştırmacılar, Sui doğrulayıcıda Uzaktan Kod Yürütme (RCE) özelliğini kazandı.

Tailon kök kullanıcı olarak çalışıyordu ve araştırmacılara önemli ayrıcalıklar sağlıyordu.

Bu ilk giriş noktasından yararlandılar ve benzer bir kurulum kullanarak saldırılarını diğer InfStones sunucularına da genişlettiler. Censys araması sonucunda aynı Tailon hizmetine sahip 80'e yakın sunucu tespit edildi. Ancak bazı sunucular erişim için temel kimlik doğrulamayı gerektiriyordu.

Bunun üstesinden gelmek için araştırmacılar InfStones platformunda bir hesap oluşturdular ve araştırmaları sonucunda Tailon'a bağlanan proxy görevi gören bir API keşfettiler. Sunucularını kurarak ve proxy'yi kullanarak, temel kimlik doğrulama gerektiren sunucularda kimlik doğrulaması yapmalarına olanak tanıyan kimlik bilgileri elde ettiler.

Yaklaşık 80 düğümün kontrolünü ele geçiren araştırmacılar, Temmuz 2023'te InfStones'a yönelik ilk güvenlik açığını bildirdi. Araştırmaları sırasında tüm sunucularda AWS kimlik bilgileri dosyaları buldular; bu, InfStones'un S3 klasörlerinden blockchain ağ ikili dosyalarını indirdiğini gösteriyor.

Güvenliği ihlal edilen kimlik bilgileri, paketlere okuma erişimine ve yazma erişimine sahipti, bu da ikili dosyalar üzerinde potansiyel manipülasyona olanak sağlıyordu.

Daha fazla araştırma, 12345 numaralı bağlantı noktasında çalışan "infd" adlı bir hizmeti ortaya çıkardı. Araştırmacılar, bu hizmetin "yükseltme" yolundaki komut ekleme güvenlik açığından yararlanarak kök kullanıcı olarak çalıştığını belirlediler. Ancak JWT kimlik doğrulaması bir zorluk teşkil ediyordu.

Araştırmacılar, JWT kimlik doğrulamasını atlamalarına ve komut ekleme güvenlik açığından yararlanmalarına olanak tanıyan belirli bir CloudProvider ayarına sahip bir sunucu keşfettiler. Bu sunucunun yaklaşık 150 milyon dolar stake eden InfStones Aptos doğrulayıcısı olduğu belirlendi.

Bu güvenlik açıklarının etkisi oldukça önemliydi. Bu kusurlardan yararlanan bir saldırgan, çeşitli blockchain ağlarındaki doğrulayıcıların özel anahtarlarını ele geçirebilir ve potansiyel olarak doğrulayıcıların kesilmesine, stake edilen fonların geri çekilmesine veya stake etme ödüllerinin çalınmasına yol açabilir. Etkilenen doğrulayıcılar, Ethereum ağının ve alandaki önemli bir operatör olan Lido'nun önemli bir bölümünü temsil ediyordu.

Araştırmacılar bulgularını sorumlu bir şekilde InfStones'a açıkladılar ve güvenlik açıklarının potansiyel etkisini ilettiler. InfStones sorunları çözdüğünü iddia etti ve araştırmacılar, iyileştirme çabalarına ve anahtar rotasyonuna zaman tanımak için kamuya açıklamayı ertelemeyi kabul etti.

Lido DAO, bildirilen güvenlik açığını kabul etti ve belirlenen sorunları çözmek için InfoStones ile aktif olarak işbirliği yapıyor. Odak noktası, özellikle InfoStones'un altyapısındaki Ethereum düğümleriyle ilgili sorunu düzeltmektir.

Ethereum ile ilgili endişelerin giderilmesinde ilerleme kaydedilirken, Lido'nun doğrulayıcıları ve dWallet'in kapsamlı raporunda bahsedilen diğer ağlar üzerindeki etkinin boyutuna ilişkin belirsizlik sürüyor. İşbirliği çabası, güvenlik açıklarından kaynaklanan olası sonuçları kapsamlı bir şekilde araştırmayı ve azaltmayı amaçlıyor.

Bu çalışma, blockchain ağ doğrulayıcılarının güvenliği ile ilgili hesap verebilirlik ve sorumlulukta bir boşluğun altını çizdi. Kod kalitesine ve akıllı sözleşme güvenliğine önemli kaynaklar yatırılırken, doğrulayıcıların güvenliği genellikle ödül programlarının kapsamı dışında değerlendiriliyor ve saldırganlar için potansiyel bir giriş noktası oluşturuyor.

Araştırmacılar, blockchain ağlarının önemli bileşenleri olan doğrulayıcıların güvenliğine daha fazla odaklanılması gerektiğini vurguladı.

İleriye dönük

Kullanıcılar, blockchain ağlarına ve teknolojilerine katılımlarının güvenliğini artırmak için uygulanabilir birkaç adım atabilir. Her şeyden önce, blockchain ağlarının sürekli gelişen güvenlik ortamı hakkında bilgi sahibi olmak çok önemlidir.

Saygın kaynakları, güvenlik araştırmacılarını ve düzenli olarak içgörü ve güncelleme paylaşan kuruluşları takip etmek, bireylerin ve kuruluşların potansiyel risklerden ve güvenlik açıklarından kaçınmasına yardımcı olacaktır.

Blockchain ağlarında düğümlerin stake edilmesi veya işletilmesiyle ilgileniyorsanız, doğrulayıcı hizmetlerinizi çeşitlendirmek ihtiyatlı bir stratejidir. Tek bir hizmet sağlayıcıya güvenmek, güvenlik açıkları veya saldırı riskini artırır.

Ayrıca altyapının düzenli güvenlik denetimleri de önemlidir. Bu denetimler, kodun ve akıllı sözleşmelerin değerlendirilmesinin ötesine geçerek ağı destekleyen doğrulayıcıların güvenliğine kadar uzanmalıdır.

Çok faktörlü kimlik doğrulamanın (MFA) uygulanması bir başka kritik önlemdir. Blockchain işlemleriyle ilgili tüm hesaplarda ve hizmetlerde MFA'nın etkinleştirilmesi, ekstra bir güvenlik katmanı ekleyerek yetkisiz erişim riskini azaltır.

Blockchain altyapısını yöneten personel için güvenlik farkındalığı eğitimi de aynı derecede önemlidir. Bireylerin potansiyel tehditler, yaygın saldırı vektörleri ve en iyi güvenlik uygulamaları hakkında bilgi sahibi olmasını sağlar.

Blockchain ağlarında veya hizmetlerinde güvenlik açıklarının keşfedilmesi durumunda sorumlu açıklama uygulamalarının takip edilmesi tavsiye edilir. Etkilenen tarafları derhal bilgilendirmek ve kamuya açıklanmadan önce sorunları çözmek için onlarla işbirliği yapmak potansiyel zararı en aza indirebilir.

Ayrıca blockchain operasyonlarında kullanılan bulut hizmetlerinin konfigürasyonlarının düzenli olarak gözden geçirilmesi ve denetlenmesi hayati önem taşıyor. Buna hizmetlerin güvenliğinin sağlanması, gereksiz açık bağlantı noktalarının kapatılması ve erişim kontrollerinin uygun şekilde yapılandırılması da dahildir.

Doğrulayıcıların blockchain ağlarının güvenliğindeki kritik rolünün tanınması çok önemlidir. Blockchain projelerini ve organizasyonlarını, güvenlik programlarının ve hata ödül girişimlerinin bir parçası olarak doğrulayıcı güvenliğini dahil etmeye teşvik etmek, daha güvenli bir ekosisteme önemli ölçüde katkıda bulunabilir.

Doğrulayıcı düğümlerdeki olağandışı etkinliklerin ve yetkisiz erişimlerin sürekli izlenmesi de önerilir. Şüpheli davranışların erken tespiti, güvenlik olaylarının etkisini önleyebilir veya en aza indirebilir.

Son olarak, blockchain alanında kapsamlı güvenlik programlarını savunan girişimlerin desteklenmesi ve doğrulayıcı güvenliğinin ödül programlarına dahil edilmesi, potansiyel güvenlik açıklarının etkili bir şekilde ele alınmasına katkıda bulunacaktır.