Web3 Güvenlik Kılavuzu'nun önceki bölümünde, cüzdan indirme veya satın alma ile ilişkili riskleri, resmi web sitelerini bulma yöntemlerini, cüzdanların otantikliğini doğrulama yöntemlerini ve özel anahtar / tohum ifadesi sızıntılarının tehlikelerini tartıştık. "Anahtarlarınız değilse, paralarınız da değil" ifadesi, özel anahtarlarınızı kontrol etmenin önemini vurgular. Ancak, hatta özel anahtarları veya tohum ifadelerini sahip olmak bile, kötü niyetli bir çok imza kurulumu tarafından tehlikeye atılan bir cüzdan gibi durumlarda varlıklarınızın kontrolünü garanti etmez.
MistTrack'in çalınan fon raporundan toplanan verilere dayanarak, bazı kullanıcılar cüzdanlarında fon bulunduğunu ancak kötü niyetli çoklu imza yapılandırmaları nedeniyle bunları transfer edemediklerini buluyorlar. Bu kılavuzda, TRON cüzdanını örnek olarak kullanarak çoklu imza dolandırıcılığı kavramını, çoklu imza sistemlerinin çalışma mekanizmasını, hackerlar tarafından kullanılan yaygın taktikleri ve cüzdanınızın kötü niyetli çoklu imza ayarlarıyla yapılandırılmasını önlemek için stratejileri açıklıyoruz.
Çok imza (multisig) mekanizması, birden fazla kullanıcının dijital varlık cüzdanına kolektif olarak erişimi yönetmesine olanak tanıyarak cüzdan güvenliğini artırmak üzere tasarlanmıştır. Bu kurulum, bazı yöneticilerin özel anahtarlarını/seed ifadelerini kaybetmeleri veya sızdırmaları durumunda bile, cüzdanın içindeki varlıkların güvende kalmasını sağlar.
TRON'un çok imzalı sistem, sahip, tanık ve etkin olmak üzere üç farklı izin seviyesini içerir. Her biri belirli işlevlere ve amaçlara hizmet eder.
Sahip İzinleri:
En yüksek düzeyde yetkiye sahip, tüm sözleşmeleri ve operasyonları gerçekleştirebilen.
Yalnızca bir sahip, diğer izinleri değiştirebilir, imzalayıcıları ekleyebilir veya kaldırabilir.
Yeni bir hesap oluşturulduğunda, hesap kendisi varsayılan olarak sahip iznine atanır.
Tanık İzinleri:
Etkin İzinler:
Daha önce belirtildiği gibi, yeni bir hesabın adresi varsayılan olarak sahibe izinlerini (en yüksek seviye) otomatik olarak alır. Bu sahip daha sonra hesabın izin yapısını ayarlayabilir, hangi adreslerin izin alacağını, bu izinlerin ağırlığını ve eşikleri belirleyebilir. Eşik, belirli eylemleri gerçekleştirmek için gereken imza ağırlığını belirler. Örneğin, eşik 2 olarak ayarlanmışsa ve üç yetkilendirilmiş adresin her birinin ağırlığı 1 ise, işlemin devam etmesi için en az iki imzacının onaylaması gerekir.
Bir hacker bir kullanıcının özel anahtarını veya tohum cümlesini elde ettiğinde ve kullanıcı çok imzalı bir mekanizma uygulamamışsa (yani cüzdan yalnızca kullanıcı tarafından kontrol ediliyorsa), hacker kendilerine Sahip/Etkin izinlerini verebilir veya kullanıcının Sahip/Etkin izinlerini kendi adreslerine aktarabilir. Bu eylemler genellikle kötü niyetli çok imzalı olarak adlandırılır, ancak bu terim geniş bir şekilde tanımlanabilir. Aslında, durum kullanıcının hala herhangi bir Sahip/Etkin iznine sahip olup olmadığına göre kategorize edilebilir.
Aşağıda tasvir edilen senaryoda, kullanıcının Sahip/Etkin izinleri kaldırılmamıştır; bunun yerine, hacker kendi adresini yetkili Sahip/Etkin taraf olarak eklemiştir. Hesap artık kullanıcı ve hacker tarafından ortak olarak kontrol ediliyor ve eşik değeri 2 olarak ayarlanmış durumda. Kullanıcının ve hacker'ın adresleri de 1 ağırlığa sahip. Kullanıcının özel anahtarı/tohum cümlesi sahip olmasına ve Sahip/Etkin izinlerini korumasına rağmen, varlıklarını transfer edemiyor. Bu, varlıkların transferi için her iki imzanın da gerekliliği sebebiyle, kullanıcının ve hacker'ın onayının gerekli olmasından dolayıdır.
Çok imzalı bir cüzdandan varlıkların transfer süreci birden fazla imza gerektirirken, cüzdana fon yatırmak gerekmez. Kullanıcılar hesap izinlerini düzenli olarak kontrol etmez veya son zamanlarda herhangi bir transfer yapmazlarsa, cüzdan izinlerindeki değişiklikleri fark edemeyebilir ve uzun süren kayıplara neden olabilir. Cüzdan yalnızca küçük bir varlık içeriyorsa, hacker'lar hesap daha fazla varlık biriktirilene kadar her şeyi bir kerede çalmayı bekleyebilir.
Başka bir senaryoda, hacker'lar TRON'un izin yönetim sisteminin kullanıcıya ait Owner/Active izinlerini hacker'ın adresine doğrudan aktararak, eşik hala 1 olarak ayarlanır. Bu eylem, kullanıcının Owner/Active izinlerini elinden alır ve etkili bir şekilde hesap üzerindeki kontrolünü, hatta "oy hakkını" bile kaldırır. Bu teknik olarak kötü niyetli çoklu imza durumu olmasa da, genellikle böyle adlandırılır.
Her iki durumda da, kullanıcının Sahip/Etkin izinleri olup olmadığına bakılmaksızın, hesap üzerinde gerçek kontrolünü kaybeder. Şimdi en yüksek izinlere sahip olan hacker, hesap ayarlarını değiştirebilir ve varlıkları transfer edebilir, böylece meşru sahip cüzdanlarını yönetemez.
MistTrack'in çalınan fon raporundan toplanan verilere dayanarak, kötü niyetli çoklu imza saldırılarının birkaç ortak nedenini belirledik. Kullanıcılar aşağıdaki durumlarda dikkatli olmalıdır:
Sahte Cüzdan İndirme: Kullanıcılar, Telegram, Twitter veya diğer kaynaklar aracılığıyla gönderilen sahte web sitesi bağlantılarına tıklayarak sahte cüzdanlar indirebilirler. Bu, özel anahtarların veya tohum cümlelerinin sızmasına neden olabilir ve kötü niyetli çoklu imza saldırılarına yol açabilir.
Balıkçılık Sitelerinde Özel Anahtarları Girme: Yakıt kartları, hediye kartları veya VPN gibi hizmetler sunan balıkçılık sitelerinde özel anahtarlarını veya tohum ifadelerini giren kullanıcılar cüzdanlarının kontrolünü kaybedebilirler.
OTC Ticareti: OTC (tezgah üstü) işlemleri sırasında, biri kullanıcının özel anahtarlarını veya izinlerini ele geçirebilir veya başka şekilde edinebilir, bu da kötü niyetli çoklu imza saldırısına yol açabilir.
Özel Anahtarları İçeren Dolandırıcılıklar: Dolandırıcılar, varlıkları çekemeyeceklerini iddia ederek ve yardım için bir ödül teklif ederek özel bir anahtar sağlayabilir. İlişkili cüzdanda para var gibi görünse de, para çekme izinleri başka bir adrese yapılandırılarak herhangi bir transfer engellenir.
Bu kılavuzda, TRON cüzdanını örnek olarak kullanarak çoklu imza mekanizmasını, hacker'ların kötü niyetli çoklu imza saldırılarını nasıl gerçekleştirdiğini ve yaygın kullanılan taktikleri açıkladık. Bu bilgiler, kötü niyetli çoklu imza saldırılarına karşı anlayışı artırmayı ve önlemeyi geliştirmeyi amaçlamaktadır. Ek olarak, bazı kullanıcılar, özellikle başlangıç seviyesinde olanlar, cüzdanlarını yanlışlıkla çoklu imza için yapılandırabilirler, bu durumda kullanıcılar çoklu imza gereksinimlerini karşılamalı veya yalnızca bir adrese Owner/Active izinlerini atayarak tek imzaya geri dönmelidir.
Web3 Güvenlik Kılavuzu'nun önceki bölümünde, cüzdan indirme veya satın alma ile ilişkili riskleri, resmi web sitelerini bulma yöntemlerini, cüzdanların otantikliğini doğrulama yöntemlerini ve özel anahtar / tohum ifadesi sızıntılarının tehlikelerini tartıştık. "Anahtarlarınız değilse, paralarınız da değil" ifadesi, özel anahtarlarınızı kontrol etmenin önemini vurgular. Ancak, hatta özel anahtarları veya tohum ifadelerini sahip olmak bile, kötü niyetli bir çok imza kurulumu tarafından tehlikeye atılan bir cüzdan gibi durumlarda varlıklarınızın kontrolünü garanti etmez.
MistTrack'in çalınan fon raporundan toplanan verilere dayanarak, bazı kullanıcılar cüzdanlarında fon bulunduğunu ancak kötü niyetli çoklu imza yapılandırmaları nedeniyle bunları transfer edemediklerini buluyorlar. Bu kılavuzda, TRON cüzdanını örnek olarak kullanarak çoklu imza dolandırıcılığı kavramını, çoklu imza sistemlerinin çalışma mekanizmasını, hackerlar tarafından kullanılan yaygın taktikleri ve cüzdanınızın kötü niyetli çoklu imza ayarlarıyla yapılandırılmasını önlemek için stratejileri açıklıyoruz.
Çok imza (multisig) mekanizması, birden fazla kullanıcının dijital varlık cüzdanına kolektif olarak erişimi yönetmesine olanak tanıyarak cüzdan güvenliğini artırmak üzere tasarlanmıştır. Bu kurulum, bazı yöneticilerin özel anahtarlarını/seed ifadelerini kaybetmeleri veya sızdırmaları durumunda bile, cüzdanın içindeki varlıkların güvende kalmasını sağlar.
TRON'un çok imzalı sistem, sahip, tanık ve etkin olmak üzere üç farklı izin seviyesini içerir. Her biri belirli işlevlere ve amaçlara hizmet eder.
Sahip İzinleri:
En yüksek düzeyde yetkiye sahip, tüm sözleşmeleri ve operasyonları gerçekleştirebilen.
Yalnızca bir sahip, diğer izinleri değiştirebilir, imzalayıcıları ekleyebilir veya kaldırabilir.
Yeni bir hesap oluşturulduğunda, hesap kendisi varsayılan olarak sahip iznine atanır.
Tanık İzinleri:
Etkin İzinler:
Daha önce belirtildiği gibi, yeni bir hesabın adresi varsayılan olarak sahibe izinlerini (en yüksek seviye) otomatik olarak alır. Bu sahip daha sonra hesabın izin yapısını ayarlayabilir, hangi adreslerin izin alacağını, bu izinlerin ağırlığını ve eşikleri belirleyebilir. Eşik, belirli eylemleri gerçekleştirmek için gereken imza ağırlığını belirler. Örneğin, eşik 2 olarak ayarlanmışsa ve üç yetkilendirilmiş adresin her birinin ağırlığı 1 ise, işlemin devam etmesi için en az iki imzacının onaylaması gerekir.
Bir hacker bir kullanıcının özel anahtarını veya tohum cümlesini elde ettiğinde ve kullanıcı çok imzalı bir mekanizma uygulamamışsa (yani cüzdan yalnızca kullanıcı tarafından kontrol ediliyorsa), hacker kendilerine Sahip/Etkin izinlerini verebilir veya kullanıcının Sahip/Etkin izinlerini kendi adreslerine aktarabilir. Bu eylemler genellikle kötü niyetli çok imzalı olarak adlandırılır, ancak bu terim geniş bir şekilde tanımlanabilir. Aslında, durum kullanıcının hala herhangi bir Sahip/Etkin iznine sahip olup olmadığına göre kategorize edilebilir.
Aşağıda tasvir edilen senaryoda, kullanıcının Sahip/Etkin izinleri kaldırılmamıştır; bunun yerine, hacker kendi adresini yetkili Sahip/Etkin taraf olarak eklemiştir. Hesap artık kullanıcı ve hacker tarafından ortak olarak kontrol ediliyor ve eşik değeri 2 olarak ayarlanmış durumda. Kullanıcının ve hacker'ın adresleri de 1 ağırlığa sahip. Kullanıcının özel anahtarı/tohum cümlesi sahip olmasına ve Sahip/Etkin izinlerini korumasına rağmen, varlıklarını transfer edemiyor. Bu, varlıkların transferi için her iki imzanın da gerekliliği sebebiyle, kullanıcının ve hacker'ın onayının gerekli olmasından dolayıdır.
Çok imzalı bir cüzdandan varlıkların transfer süreci birden fazla imza gerektirirken, cüzdana fon yatırmak gerekmez. Kullanıcılar hesap izinlerini düzenli olarak kontrol etmez veya son zamanlarda herhangi bir transfer yapmazlarsa, cüzdan izinlerindeki değişiklikleri fark edemeyebilir ve uzun süren kayıplara neden olabilir. Cüzdan yalnızca küçük bir varlık içeriyorsa, hacker'lar hesap daha fazla varlık biriktirilene kadar her şeyi bir kerede çalmayı bekleyebilir.
Başka bir senaryoda, hacker'lar TRON'un izin yönetim sisteminin kullanıcıya ait Owner/Active izinlerini hacker'ın adresine doğrudan aktararak, eşik hala 1 olarak ayarlanır. Bu eylem, kullanıcının Owner/Active izinlerini elinden alır ve etkili bir şekilde hesap üzerindeki kontrolünü, hatta "oy hakkını" bile kaldırır. Bu teknik olarak kötü niyetli çoklu imza durumu olmasa da, genellikle böyle adlandırılır.
Her iki durumda da, kullanıcının Sahip/Etkin izinleri olup olmadığına bakılmaksızın, hesap üzerinde gerçek kontrolünü kaybeder. Şimdi en yüksek izinlere sahip olan hacker, hesap ayarlarını değiştirebilir ve varlıkları transfer edebilir, böylece meşru sahip cüzdanlarını yönetemez.
MistTrack'in çalınan fon raporundan toplanan verilere dayanarak, kötü niyetli çoklu imza saldırılarının birkaç ortak nedenini belirledik. Kullanıcılar aşağıdaki durumlarda dikkatli olmalıdır:
Sahte Cüzdan İndirme: Kullanıcılar, Telegram, Twitter veya diğer kaynaklar aracılığıyla gönderilen sahte web sitesi bağlantılarına tıklayarak sahte cüzdanlar indirebilirler. Bu, özel anahtarların veya tohum cümlelerinin sızmasına neden olabilir ve kötü niyetli çoklu imza saldırılarına yol açabilir.
Balıkçılık Sitelerinde Özel Anahtarları Girme: Yakıt kartları, hediye kartları veya VPN gibi hizmetler sunan balıkçılık sitelerinde özel anahtarlarını veya tohum ifadelerini giren kullanıcılar cüzdanlarının kontrolünü kaybedebilirler.
OTC Ticareti: OTC (tezgah üstü) işlemleri sırasında, biri kullanıcının özel anahtarlarını veya izinlerini ele geçirebilir veya başka şekilde edinebilir, bu da kötü niyetli çoklu imza saldırısına yol açabilir.
Özel Anahtarları İçeren Dolandırıcılıklar: Dolandırıcılar, varlıkları çekemeyeceklerini iddia ederek ve yardım için bir ödül teklif ederek özel bir anahtar sağlayabilir. İlişkili cüzdanda para var gibi görünse de, para çekme izinleri başka bir adrese yapılandırılarak herhangi bir transfer engellenir.
Bu kılavuzda, TRON cüzdanını örnek olarak kullanarak çoklu imza mekanizmasını, hacker'ların kötü niyetli çoklu imza saldırılarını nasıl gerçekleştirdiğini ve yaygın kullanılan taktikleri açıkladık. Bu bilgiler, kötü niyetli çoklu imza saldırılarına karşı anlayışı artırmayı ve önlemeyi geliştirmeyi amaçlamaktadır. Ek olarak, bazı kullanıcılar, özellikle başlangıç seviyesinde olanlar, cüzdanlarını yanlışlıkla çoklu imza için yapılandırabilirler, bu durumda kullanıcılar çoklu imza gereksinimlerini karşılamalı veya yalnızca bir adrese Owner/Active izinlerini atayarak tek imzaya geri dönmelidir.