SwissBorg'daki 41.5 Milyon Dolarlık SOL Çalınması ve Kripto Ekosistemindeki Etkileri

Kripto para staking ekosistemini sarsan bir olayda, SwissBorg, SOL Earn ürününe bağlı bir harici cüzdandan yaklaşık 41.5 milyon dolar değerinde, 192,600 SOL'un çalındığını duyurdu. Saldırı, SwissBorg'un kendisinden kaynaklanmadı; ancak bir ortak API'sinin tehlikeye girmesiyle gerçekleşti. Bu durum, sektörde üçüncü taraf API güvenliği ve işlem oluşturma mimarisi hakkında endişeleri artırdı.

Olay, bir partnerin API'sinin ele geçirilmesiyle başladı. Saldırganlar, bu API aracılığıyla SwissBorg'un SOL Earn hizmetine bağlı cüzdana erişim sağlayarak fonları çekti. SwissBorg, çalınan miktarın büyük olmasına rağmen, etkilenen kullanıcı sayısının %1'den az olduğunu ve yönetimi altındaki toplam varlıklarının yaklaşık %2'sini temsil ettiğini bildirdi. Şirket, diğer tüm fonların ve stratejilerin güvende olduğunu vurgulayarak, kayıpları karşılayacağını ve kullanıcıların mali olarak zarar görmemesini sağlayacağını belirtti. SwissBorg, SOL Earn geri ödemelerini durdurdu, kurtarma çalışmalarına başladı ve güvenlik firmaları, white-hat hacker'lar ve kolluk kuvvetleriyle işbirliği yapıyor. Tam bir olay raporu bekleniyor.

Chorus One tarafından yapılan bir analiz, işlem oluşturma API'leriyle ilişkili temel güvenlik açıklarına ışık tutuyor. Analiz, güvenlik varsayımlarına karşı tasarım odaklı güvenliğin önemini vurguluyor. Birçok sistem, üçüncü tarafların doğru davranacağını varsayar. Ancak, mimarinin, bir partnerin tehlikeye girmesi durumunda bile fonların hemen risk altında olmamasını sağlayacak şekilde güvenlik sağlaması gerektiği belirtiliyor.

Solana'da staking işlemleri, işlemlerin oluşturulması, kodlanması, imzalanması ve yayınlanmasını içerir. İşlem oluşturma API'leri, özellikle SDK'lar veya açık kaynaklı kütüphaneler gibi alternatifler mevcutken, gereksiz bir risk olarak değerlendiriliyor. API'ler, yayınlama veya zinciri sorgulama gibi birçok amaç için faydalı olsa da, işlem oluşturma konusunda aynı güvenliği sağlamıyor. Bu durum, platformların mimari seçimlerini yeniden değerlendirmesini gerektiriyor. Şeffaflık ve kontrol, denetlenebilirliği sağlayan açık kaynaklı kütüphaneler veya SDK'lar kullanarak artırılabilir. Ayrıca, risk azaltma ve acil durum planları, katmanlı güvenlik önlemleri ile desteklenmelidir.

SwissBorg olayı, karmaşık bir sistemdeki en zayıf halka platformun kendisi olmak zorunda olmadığını gösteriyor. Bu, bir partner, bir API veya fonlar veya işlem mantığı üzerinde yetkiye sahip herhangi bir bileşen olabilir. Gelecekte, sektörün daha çok tasarım odaklı güvenliğe, kodlanmış, denetlenebilir bileşenlere, daha fazla SDK veya kütüphane tabanlı entegrasyona ve yüksek ayrıcalıklı daha az kara kutu API'sine yönelmesi bekleniyor. Bu tasarım seçimleri başlangıçta daha maliyetli olabilir, ancak büyük kayıplar ve itibar zedelenmesi çok daha pahalıdır.