Kripto para borsaları, siber suçlular için artık ilgili çekici hedeflerden biri haline geldi. Türkiye'nin en büyük kripto para borsalarından birinin yaşadığı güvenlik ihlali de, bu platformların maruz kalabileceği olayların bir örneğini göstermiş oldu. Bu yazımızda, dünya genelinde kripto para borsalarını etkileyen siber güvenlik olaylarının teknik ayrıntılarına ve hem borsaları hem de hesap sahiplerini tehdit eden çeşitli bilgi güvenliği saldırı tekniklerine derinlemesine bir bakış sunmayı amaçladık.
Kripto para borsalarında önemli siber güvenlik olayları
Mt. Gox saldırısı (2014)
En yıkıcı güvenlik ihlallerinden biri, bir zamanlar dünyanın önde gelen Bitcoin borsası olan Mt. Gox'ta meydana geldi. 2014 yılında, borsanın hırsızlık sonucu 850.000 bitcoin kaybettiği ortaya çıktı. Saldırganlar, fonları çekmek için "transaction malleability attack" adı verilen bir saldırı tekniğini kullandılar. Bu saldırı türünde saldırgan genellikle işlemi düzenleyen taraf değil alıcı taraf oluyor. Saldırgan, kurbanın saldırgan tarafından kontrol edilen adrese, bir miktar fon aktaran bir işlem oluşturmasını sağlıyor, örneğin kripto para çekim talebinde bulunuyor. Saldırgan daha sonra işlemin ilgili ağda yayınlanmasını bekliyor ve işlemin içeriğini (alıcının adresi, tutar vb.) değiştirmeden işleme ait tanımlama bilgisini (transaction ID) değiştiriyor.
Bu saldırı tipinde aynı işlem farklı bir ID ile de yayınlanabiliyor. Yapılan değişiklik sonrasında, çekim işlemi karşılığında talep edilen miktar alıcının cüzdanına transfer olsa bile doğrulama için kullanılan ID'nin değişmesiyle birlikte işlem başarısız olarak görünüyor ve ilgili miktar tekrar yollanıyor veya yollayıcının hesabına geri yatırılıyor. Yapılan değişiklik sonrasında talep edilen miktar hesaba geçerken aynı miktar da kripto para alıcısının veya göndericinin hesabına tekrar yollanıyor. Bu sayede, işlemin başarılı olduğu sonradan fark edilse bile transfer edilmek istenen miktarda kripto para kadar haksız kazanç elde ediliyor.
Poly Network saldırısı (2021)
Merkezi olmayan çok zincirli finans (cross-chain decentralized finance) platformu Poly Network[1], 10 Ağustos 2021'de büyük bir siber saldırıya uğradı. Saldırganlar, platformun akıllı sözleşmelerindeki güvenlik açıklarını kullanarak yaklaşık 610 milyon dolar değerinde çeşitli kripto parayı ele geçirdi. Saldırı, Poly Network'ün Ethereum, Binance Smart Chain (BSC) ve Polygon ağları arasında varlık transferi yapılmasını sağlayan akıllı sözleşmelerindeki bir güvenlik açığından kaynaklandı[2]. Poly Network, saldırıyı halka açıkladıktan sonra, saldırganlarla fonları iade etmeleri için iletişime geçti. İlginç bir şekilde, saldırganlar birkaç gün içinde çalınan varlıkları iade etmeye başladı[3].
Poly Network saldırısının ardından, DeFi topluluğunda geniş çapta bir güvenlik tartışması başladı. Platformlar ve kullanıcılar, akıllı sözleşmelerin güvenliğini sağlamak için daha fazla denetim ve güvenlik önlemleri almanın önemini vurguladı. Poly Network, güvenlik firmalarıyla iş birliği yaparak platformun güvenliğini artırmak için bug bounty[4] programları gibi farklı adımlar attı ve gelecekte benzer saldırıları önlemek için protokollerini güçlendirdi. Bu olay, kripto para birimleri ve DeFi platformları için güvenlik protokollerinin ne kadar hayati olduğunu ve sürekli gelişen siber tehditlere karşı uyanık olmanın önemini bir kez daha gösterdi.
CryptoCore ve Lazarus grubu saldırıları
Kripto para piyasasında yüksek tutarda etkiye sahip bir başka örnek ise CryptoCore ve Lazarus grupları tarafından gerçekleştirilen saldırılardır. Saldırıların net finansal etkisi bilinmese de toplam tutarın 200 milyon doların üstünde olduğu tahmin ediliyor. Bu iki grubun saldırılarının ortak özellikleri genellikle uzun süre devam etmesi, yüksek tutarlı etki yaratması ve sosyal mühendislik tekniklerini içermesi.
CryptoCore gurubunun gerçekleştirdiği saldırılarda genellikle, şirketlerin üst düzey yöneticilerine ve IT personeline özenle farklılaştırılarak hazırlanmış spear-phishing[5] e-postaları göndermekle başlandığı görülüyor. Alıcısını zararlı içerik barındıran web sitelerine yönlendiren veya zararlı yazılım içeren ekler barındıran bu e-postalar, grubun kurbanın bilgisayarına sızmasına, kötü amaçlı yazılımlar ve keyloggerlar[6] aracılığıyla kullanıcı adları, parolalar ve diğer oturum açma bilgilerinin çalınmasına sebep oluyor. Bu bilgiler kullanılarak kripto para borsalarındaki hesaplara sızılıp büyük miktarlarda kripto para ele geçirmek hedefleniyor.
İki grubun saldırıları arasında en büyük fark ise Lazarus grubunun Kuzey Kore hükümeti destekli bir hacker grubu olduğu düşünülüyor. Teknik açıdan bakıldığında da en büyük farkın Lazarus grubunun gerçekleştirdiği saldırıların daha sofistike olduğu görülüyor. Lazarus’un saldırıları sıfır gün güvenlik açıklarının[7] kullanıldığı ağ trafiğini izleme, kritik sistemlere sızma ve arka kapılar oluşturma gibi ileri düzeyde siber saldırı tekniklerini içeriyor. Dolayısıyla hedef kurumların güvenlik altyapılarını ciddi şekilde tehlikeye atıyor. Lazarus'un saldırıları, genellikle devlet destekli olduğu düşünülen ve finansal kazanç elde etmeyi hedefleyen karmaşık siber operasyonlar şeklinde gerçekleşiyor.
Bitfinex saldırısı (2016)
Dünya’nın önde gelen borsalarından birisi olan Bitfinex, 2016 yılında büyük bir güvenlik ihlali yaşadı ve yaklaşık 120.000 bitcoin kaybetti. Saldırının çoklu imza cüzdanlarını (multi-sig wallet) etkilediği bilinse de tam olarak nasıl gerçekleştiği hala bilinmiyor.
Coincheck saldırısı (2018)
Japonya'nın Coincheck borsası, 2018 yılında yaklaşık 534 milyon dolar değerinde NEM token’ının çalındığı bir siber saldırıya uğradı. Saldırı NEM token’larının tutulduğu internete bağlı olan sıcak cüzdanlar üzerinden gerçekleşti.
Sonuç
Kripto para borsalarını hedef alan saldırıların aşağıdakilerle sınırlı kalmamak kaydıyla farklı teknikler içerdiğini görüyoruz:
· Kimlik Avı Saldırıları
· Yazılım Güvenlik Açıklarından Yararlanma
· Dağıtık Hizmet Reddi (Ddos) Saldırıları
· İçeriden Tehditler
· Sosyal Mühendislik
· Apı[8]Leri Hedef Alan Saldırılar
Kripto para borsalarını etkileyen siber güvenlik vakaları, sağlam güvenlik önlemlerinin önemini vurguluyor. Borsalar tedbirleri artırdıkça, siber suçlular tarafından kullanılan saldırı teknikleri de gelişiyor. Ancak saldırganların bu işi meslek edindiklerini unutmamak gerekiyor. Borsaların aşağıdaki maddeleri asgari seviyede tedbir olarak alması gerekiyor:
· Kapsamlı güvenlik protokolleri uygulaması,
· Tehdit istihbaratı alınması,
· Düzenli güvenlik denetimleri gerçekleştirilmesi,
· Çalışanlara eğitimler verilmesi ve siber bilgi güvenliği konusundaki farkındalıklarını artıracak faaliyetlerde (güncel saldırılar hakkında bilgi verilmesi, vb.) bulunulması,
· İleri düzey güvenlik teknolojilerini benimsenmesi.
Bireysel hesapları korumak için de kullanıcıların; tetikte olması, güçlü ve benzersiz şifreler kullanması, iki faktörlü kimlik doğrulamayı etkinleştirmesi, e-postalar konusunda hassas davranarak tanımadığı linklere tıklamaması ve kimlik avı girişimlerine karşı dikkatli olması kaçınılmaz önlemler arasında yer alıyor. Paranın güvenliğini sağlamanın sadece hizmet veren kuruluşun veya finansal kuruluşun görevi olmadığını unutmamak gerekiyor.
[1] Poly Network’ün en önemli özelliği farklı kripto para birimleri arasında transfere izin vermesi.
[2] Saldırganlar, akıllı sözleşmelerin birleştirme işlevini kötüye kullanarak, bu işlevin aslında yalnızca belirli adresler tarafından kullanılmasına rağmen, platformun sıcak cüzdanlarından kripto para çekmeyi başardılar.
[3] Saldırganlar işlemlerden birisi içerisine şu mesajı eklemişlerdi: “IT’S ALREADY A LEGEND TO WIN SO MUCH FORTUNE. IT WILL BE AN ETERNAL LEGEND TO SAVE THE WORLD. I MADE THE DECISION, NO MORE DAO”. Çevirisi: “Bu kadar çok servet kazanmak zaten efsanevi. Dünyayı kurtarmak ebedi bir efsane olacak. Kararımı verdim, artık DAO yok”.
[4] Beyaz şapkalı hackerlar gibi bilgi güvenliği uzmanlarının ilgili şirketlerin sistemlerdeki açıları tespit etmeleri için başlatılan ve genellikle açıkların önemine göre ödeme yapılan bir tür programdır (bir tür ödül avcılığı).
[5] Spear phishing, belirli bir kişi veya organizasyona özel olarak tasarlanmış ve genellikle güvenilir bir kaynaktan geldiği izlenimi veren dolandırıcı e-postaları kullanarak e-postanın alıcısından bilgi çalmayı amaçlayan bir siber saldırı türüdür.
[6] Bilgisayar klavyesinde basılan tuşları gizlice kaydederek üçüncü taraflara ileten kötü amaçlı yazılım veya donanımdır. Genellikle kullanıcı adı, parola ve şifre bilgilerinin çalınması için kullanılır.
[7] Sıfır gün güvenlik açıkları, yazılım veya donanımdaki daha önce bilinmeyen ve dolayısıyla henüz bir yama veya düzeltmesi yapılmamış güvenlik zafiyetleridir.
[8] Application Programming Interface (API). Türkçe karşılığı “Uygulama Programlama Arayüzü” olan API’ler, farklı yazılım uygulamalarının birbirleriyle etkileşimde bulunabilmesi için oluşturulan kurallar, protokoller ve araçlar setidir. Yazılım geliştiriciler, bir yazılımın veya hizmetin belirli işlevlerini ve verilerini başka bir yazılımda kullanabilmek için API’leri kullanırlar.
*Burak Aytekin’in Coindesk için hazırladığı makaleden alınmıştır.
