Kripto Entropit Açığı: Blok Zincirinin Gizli Düşmanı
Kripto Entropit Açığı Nedir?
Kripto entropit açığı, aynı blok zincirini paylaşan tokenlerin akıllı kontratlarının etkileşimlerinden doğan bir güvenlik problemidir. Bu açık, sistemin öngörülemeyen dinamiklerini kullanan saldırganların haksız kazanç elde etmesine olanak tanır. 2024 verilerine göre bu açıktan dolayı yaşanan haksız kazanç 250 milyon doları aştı. Çapraz kontrat çakışması sebebi ile çeşitli tokenler birbirini etkileyebiliyor ve bu şekilde saldırganlar likitide sömürüsü yapabiliyor.
Teknik: Entropit Açığı Nasıl Çalışır?
Saldırı tekniğini incelediğimizde saldırganlar 3 temel adım ile bu sömürüyü gerçekleştiriyor. Analiz, manipülasyon, sömürü
- Analiz: Saldırgan aynı ağda çalışan fonksiyonlar arasında benzerlikler bulunan iki tokeni tespit eder. Örneğin A tokenin fonksiyonunu B tokeni çağırabilir gibi bir açık bulurlar ve bu açıktan faydalanırlar.
- Manipülasyon: Saldırgan açık olan tokenleri tespit ettikten sonra kendi fonksiyonları ile ya da direkt tokendeki açıkları kullanarak kriptoların fonksiyonlarını bağlar.
- Sömürü: Token A dan büyük bir alım yaparak bozduğu Token B’den ise yüksek miktarda token elde etmiş olur. Yani A Tokeninden satın alması B tokeninden elde etmesine sebep olur ve bu tokenleri tekrar satarak havuzdaki parayı kendi bünyesine aktarmış olur.
Tüm bu işlemleri kısaca anlatmak gerekirse kontratların birbirine bağımlılık derecesi, işlem yoğunlukları, ağ senkronizasyonları sebebiyle saldırganlar likitideleri ele geçirir.
Gerçek Vaka Analizleri ve Sonuçları
Bu yazımızda iki farklı vakayı inceleyeceğiz. OrionSwap Hack ve Solana DEX Çöküşü.
- OrionSwap Hack’i (Ocak 2025)
OrionSwap’in NFT pazar yeri olan etkileşimi ve benzer ağlardaki iletişimi sebebiyle entropit açığı kullanılarak likitide dağıtım formülü bozuldu. 3 Milyon Dolarlık likitide havuzu 3 dakikada boşaltıldı.Yasal takip yapılamadı
- Solana DEX GameFi token (Mart 2025)
Aynı ağdaki GameFi tokeni entropit açığı ile bazı cüzdanlar tarafından üretildi. Likitide havuzundan 2.3 Milyon Dolar çekildi ve token fiyatı 1 dakika içerisinde %65 düştü sonrasında proje battı. İşlemi yapan yazılımcı yakalandı ancak yasal yaptırım yapılamadı.
Neden Yasal Yaptırım Yok?
Kripto sözleşmelerindeki kod kanundur mantığı ve sözleşmelerin iki tarafın kendi aralarında yapmış olmasından kaynaklı, sözleşme geçerlidir. Hiçbir yaptırım yapılamamaktadır. Blok zincirlerinde kontratlar değişemez kontratlardaki açıklar imzalayanları ilgilendirir.
Geleneksel hukuk akılı kontratları “yazılım hatası” sayıyor ve dolandırıcılık yasaları entropit açığını kapsamıyor. Kısaca anlatmak gerekirse saldırganlar bir çalma işlemi yapmıyor tokeni üretiyorlar ve ellerindeki tokenleri satarak gelir elde ediyorlar bu da kripto hukukundaki açığı gözler önüne seriyor.
Medya Kripto Entropit Açığını Neden Gizliyor?
Kriptoya olan güvenin azalması piyasanın çökmesine sebebiyet vereceğinden bu gibi açıklar yayın kuruluşları tarafından gizlenmekte. Projelerin büyük bir çoğunluğu reklam verenlerin projeleri olması sebebiyle medya bu konularda geri planda olmayı tercih ediyor.
Açık büyük projeler tarafından güvenlik önlemleri ve kontrat eklemeleri ile engelleniyor ancak açığın çok fazla duyulmaması sebebiyle daha küçük ekipleri olan proje sahipleri zarar görmeye devam ediyor.
Çözüm Önerileri: Entropit Açığı Nasıl Engellenir?
İzole kontrat mimarileri ve ya tokenlerin kendi ağlarını kullanmaları ile açık engellenir. Tokenlerin birbinin durumunu okumasını engelleyen sandbox alanları ile açık büyük bir oranda engellenir.
Hukuki çözümlere bakacak olursak projeler kripto entropit açığını sigorta şirketlerinin sözleşmelerine ekleyebilir kayıp durumunda sigorta şirketi ile zararı paylaşabilir. Bazı topluluklar açık bulanlara ödül verileceğini açıkladı ancak bu da çok yeterli olmadı çünkü likitide havuzundaki paranın en az yarısını çekebilen saldırganlar açığı bulanları yanlarına çekmeyi başardı.
Yorumlar kapalı.