paint-brush
Oracle Hack'lerinin Kodunu Çözmek: Blockchain Oracle'larındaki Güvenlik Açıklarını ve Korumaları Anlamakile@oraclesummit
20,538 okumalar
20,538 okumalar

Oracle Hack'lerinin Kodunu Çözmek: Blockchain Oracle'larındaki Güvenlik Açıklarını ve Korumaları Anlamak

Çok uzun; Okumak

Oracle saldırıları, saldırganların Oracle ağlarının tasarımındaki veya uygulanmasındaki güvenlik açıklarından yararlanmasıyla meydana gelir. Böyle bir hacklemede, saldırgan genellikle yanlış verileri bir blockchain sözleşmesine beslemek için oracle'ı manipüle eder. Bu genellikle fonların hatalı bir şekilde, genellikle bilgisayar korsanının hesabına aktarılmasına yol açar. Bu saldırıların temelinde akıllı sözleşmelerin dayandığı veri bütünlüğünün tehlikeye atılması yatıyor.
featured image - Oracle Hack'lerinin Kodunu Çözmek: Blockchain Oracle'larındaki Güvenlik Açıklarını ve Korumaları Anlamak
Blockchain Oracle Summit HackerNoon profile picture

Aşağıdaki sunumda bağımsız araştırmacı Sasa Milic, son iki yılda meydana gelen kehanet hacklemelerini ve bunlardan çıkarılabilecek çeşitli sonuçları anlattı.


Aşağıda, Sasa'nın video sunumuna ek olarak konuşması sırasında bahsedilen temel kavramların bir sözlüğü bulunmaktadır.


BLOCKCHAIN ORACLE NEDİR?

Yerel blockchain verileri (örneğin, tokenların sahipliği ve transferi) ağdaki her düğüm tarafından doğrulanır. Bu doğrulama işlemi, ağı kurcalamaya karşı dayanıklı hale getirir (bir %51 saldırı ). Bununla birlikte, bu kurcalamaya karşı direncin bir sonucu olarak, harici veri kaynaklarına sınırlı erişim söz konusudur, çünkü bu tür veriler ve bunların aktarımı kolaylıkla kurcalanabilir.


Basit token transferlerinin ötesinde karmaşık blockchain uygulamaları oluşturmak için harici verilere erişmeniz gerekir. Örneğin, merkezi olmayan finans (DeFi) uygulamalarının çoğu fiyat verilerine ihtiyaç duyar (ör. kullanım fiyatı veya 1 USD'ye sabitlenmiş bir stabilcoin tutun). Aslında varlık fiyatları hala blockchain oracle'ları tarafından üretilen ve işlenen en yaygın veri türüdür.


ORACLE HACK'LERİ NELERDİR?

Oracle saldırıları, saldırganların Oracle ağlarının tasarımındaki veya uygulanmasındaki güvenlik açıklarından yararlanmasıyla meydana gelir. Böyle bir hacklemede, saldırgan genellikle yanlış verileri bir blockchain sözleşmesine beslemek için oracle'ı manipüle eder. Bu genellikle fonların hatalı bir şekilde, genellikle bilgisayar korsanının hesabına aktarılmasına yol açar. Bu saldırıların özünde, akıllı sözleşmelerin dayandığı veri bütünlüğünün tehlikeye atılması ve bunun sonucunda mali kayıplar veya başka kesintiler yaşanması yatıyor.


Sunumunun başında konuşmacı, Oracle hack'lerine atfedilen kayıpların çoğunun aslında Oracle tasarımındaki bir kusurdan ziyade piyasa manipülasyonu saldırılarından kaynaklandığını açıklıyor. Sasa, Oracle saldırılarını iki önemli kategoriye ayırıyor: istatistiksel/veri hataları veya entegrasyon hataları.


GÜVENİLİRLİK ARALIĞI

Güven Aralıkları, belirli bir parametrenin gerçek miktarını tahmin etmek için kullanılan bir değer aralığını ifade eder. Bu değerlere, o aralıktaki güven derecesini temsil eden, tipik olarak %95 ile %99,9 arasında değişen bir yüzde eşlik eder.


Güven aralığına bir örnek, Bitcoin fiyatının %99 güven düzeyiyle [29.504$, 29.507$] olarak tahmin edilmesidir; bu, yayıncının o andaki Bitcoin fiyatının verilen değerler arasına düşeceğinden %99 emin olduğu anlamına gelir.


Bazı oracle protokolleri, örneğin Pyth , şeffaflık ve güven oluşturmak için fiyat yayıncılarının bir güven aralığı raporu sağlamasını zorunlu kılar.


Aykırı Değer Tespit ve Giderme Mekanizmaları

Anormallik tespiti olarak da bilinen aykırı değer tespiti, verilerdeki aykırı değerleri tanımlamak ve ortadan kaldırmak için kullanılan çeşitli teknikleri ve süreçleri ifade eder. Aykırı değerler, veri modelinden önemli ölçüde sapan veri noktalarını ifade eder. Örneğin, bir oracle fiyat verilerinin 100$, 101$, 200$, 99$, 102$,10$ vb. olmasını sağlıyorsa, 200$ ve 10$ aykırı değer olarak işaretlenmelidir.


Aykırı değerler, önceden tanımlanmış sınırları aşan veri noktalarını kaldırmak için istatistiksel yöntemler uygulanarak tanımlanır. Aykırı değer tespit mekanizmaları çok önemlidir çünkü veri bütünlüğünü geliştirir ve önyargıları azaltır, ancak konuşmacı bunların kehanet ağları bağlamında etkinliğini sorgular.


ORACLE TOPLAMA FONKSİYONU

Oracle Toplama İşlevi, farklı oracle'lardan gelen birden fazla veri girişini tek bir toplanmış değerde birleştirerek oracle verilerinin kalitesini artırmada önemli bir rol oynayan bir algoritmayı ifade eder.


Kullanılan en popüler algoritmalardan bazıları Medyan Fiyat Değeri, Hacim Ağırlıklı Ortalama Fiyat (VWAP) ve Zaman Ağırlıklı Ortalama Fiyattır (TWAP). Son ikisi, manipülasyona karşı daha dirençli oldukları için giderek daha popüler hale geliyor. VWAP, daha büyük işlem hacmine sahip kaynakların diğerlerinden daha ağır olduğu işlem hacmine dayalı ortalama bir fiyat hesaplarken, TWAP zaman aralıklarına dayalı bir ortalama fiyat hesaplar.


Bu madde Chainlink'in blogunda TWAP ve VWAP fiyat toplamı arasındaki farklar ayrıntılarıyla anlatılıyor.


ANLAŞMAZLIK DÖNEMLERİ

Anlaşmazlık dönemleri, katılımcıların kahinler tarafından sağlanan verilerin geçerliliğine veya doğruluğuna itiraz edebilecekleri belirli zaman dilimleridir. Şüphelenilen teknik hataları, tutarsızlıkları veya manipülasyonları çözmek, veri toplamanın ardından atılan doğal bir adımdır.


Bu anlaşmazlıklar eninde sonunda oylama veya aşağıdaki gibi bir tahkim protokolü yoluyla çözülür: Kleros . Zincir bağlantı 2.0 anlaşmazlıkların çözümü için ikinci bir katmana sahip olan iki katmanlı bir oracle ağı örneğidir.


SAĞLIK SINIRLARI

Akıl sağlığı kontrolleri olarak da bilinen akıl sağlığı sınırları, oracles tarafından sağlanan verileri toplama için kabul edilmeden önce doğrulamak için kullanılan önceden tanımlanmış eşikler veya sınırlardır. Protokoller tarafından kullanılan aykırı değer tespit mekanizmalarının bir örneğidir.


Bu sınırlar, fiyat verilerinin makul ve beklenen aralıklarda kalmasını sağlar. Bir kahin tarafından sağlanan veriler akıl sağlığı sınırlarının dışındaysa geçersiz kabul edilir ve toplama sürecine dahil edilmez. Bu madde fiyat kehanetleri için bir manipülasyon azaltma yöntemi olarak akıl sağlığı sınırlarının kullanımını tartışıyor.


Sasa Millic'le iletişime geçin:

LinkedIn
heyecan
Orta
Youtube


Blockchain Oracle Zirvesi, oracle'ların daha geniş blockchain ekosistemi üzerindeki kullanım durumlarını, sınırlamalarını ve etkilerini derinlemesine inceleyen dünyanın tek teknik zirvesidir. Dünyanın önde gelen konuşmacıları, Oracle çözümlerini oluşturma ve kullanma konusundaki çalışmalarını ve deneyimlerini paylaşmak üzere Paris'te bir araya geldi. Makaleyi yazan: Michael Abiodun .


Burada da yayınlandı.