Zašto je Bezbednost Važna
Blockchain Bezbednost: Zašto Nema Mesta za Grešku
Decentralizacija je moćan koncept: sloboda od banaka, cenzure i posrednika. Ali ta ista sloboda znači i da nema zaštitne mreže. Kada ukradu vaše kriptovalute, ne postoji regulatorno telo koje će pokrenuti istragu, nema korisnička podrška koja vraća sredstva, nema sud koji može efikasno prisiliti na povrat. Blockchain transakcije su ireverzibilne po dizajnu.
U 2025. godini ukupni gubici u kriptoprostoru usled hakova, exploita i prevara dostigli su $3,8 milijardi. Ovo je pad u poređenju sa rekordnih $4,3 milijarde u 2022., ali je i dalje iznos koji svake godine razara živote stotina hiljada korisnika i desetina protokola.
Najveći Napadi u Istoriji Kriptoprostora
Ronin Bridge — $625 miliona (mart 2022.)
Ronin je bio Ethereum sidechain koji je koristila popularna igra Axie Infinity. Napadači (kasnijom istragom identifikovani kao severnokorejska Lazarus Group) kompromitovali su pet od devet validator ključeva kroz sofisticirani spear-phishing napad na zaposlene u Sky Mavis-u. Sa tih pet ključeva, koji su bili dovoljni za konsenzus, povukli su 173.600 ETH i 25,5 miliona USDC. Napad je prošao neopažen gotovo šest dana — niko nije primetio nedostajuće tokene dok korisnik nije pokušao povrat.
Wormhole Bridge — $320 miliona (februar 2022.)
Wormhole je cross-chain bridge koji povezuje Ethereum, Solana i druge mreže. Haker je pronašao grešku u verifikaciji potpisa: iskoristio je zastarelu funkciju koja nije pravilno validirala “guardian” potpise. Bez ikakvog kolaterala, “ukovao” je 120.000 wETH na Solani i odmah ih prebacio na Ethereum. Greška je bila u 10 linija koda.
Nomad Bridge — $190 miliona (avgust 2022.)
Nomad je bio posebno tragičan slučaj jer je exploit bio toliko jednostavan da ga je kopiralo na stotine “copycats” napadača. Inicijalni haker pronašao je grešku u root verifikaciji poruka — mogli su se slati lažni root hash-evi koji bi se validirali. Jednom kada je vijest izašla, svako ko je razumeo exploit mogao je da pošalje identičnu transakciju sa drugom odredišnom adresom i povuče sredstva. Ukupno je učestvovalo više od 300 adresa.
Poly Network — $611 miliona (avgust 2021.)
U jednom od najvećih DeFi hackova ikad, napadač je iskoristio grešku u funkciji za promenu keeper adrese — adrese koja autorizuje transakcije između lanaca. Greškom u dizajnu, pozivom jedne funkcije moglo se promeniti ko je autorizovani keeper. Haker je postavio sopstvenu adresu. Neočekivano, haker je vratio sve ukradene fondove u roku od dve nedelje, izjavljujući da je to bio “white-hat” napad u svrhu demonstracije.
Tipovi Napada
51% Napad
Na proof-of-work mreži, napadač koji kontroliše više od 50% ukupne računske snage može “reorganizovati” blockchain — potrošiti iste tokene dva puta (double spend). Bitcoin je previše velika mreža za ovakav napad (cena bi bila astronomska), ali manje mreže su ranjive. Ethereum Classic je pretrpeo tri 51% napada u 2020.
Flash Loan Napad
Flash loan-ovi su nekolateralizovani krediti koji moraju biti vraćeni u istoj transakciji. Napadači ih koriste da privremeno dobiju ogromne količine tokena, manipulišu cenu na decentralizovanim berzama, iskoriste razliku u ceni i vrate kredit — sve u jednoj atomičnoj transakciji koja traje sekunde. Beanstalk je izgubio $182 miliona u jednom takvom napadu u aprilu 2022.
Reentrancy Napad
Klasična Solidity ranjivost — pametni ugovor poziva eksterni ugovor pre nego što ažurira sopstveno stanje. Eksterni ugovor može ponovo pozvati originalnu funkciju pre nego što se prvobitni poziv završi. Ovako je ukraden čuveni DAO exploit 2016. ($60M), koji je doveo do hard forka Ethereuma.
Phishing i Social Engineering
Tehnički napadi su samo jedna dimenzija. Ogromna većina kriptokrađa se dešava kroz manipulaciju korisnika: lažni MetaMask pop-up-ovi, Discord botovi koji nude “besplatan NFT mint”, email poruke koje imitiraju Binance ili Ledger. U 2024. godini phishing napadi odgovorni su za gubitak od $1,05 milijardi.
Zašto se Napadi Nastavljaju?
Blockchain prostor raste brže nego što bezbednost može pratiti. Novi protokoli se lansiraju svake nedelje, uvek u žurbi da stignu “time-to-market”. Auditi se preskače ili vrše površno. Kompleksnost DeFi kompozabilnosti znači da čak i pravilno auditovani protokoli mogu biti ranjivi kada su u interakciji sa drugim protokolima. A napadači su sve sofisticiraniji — nekada su to bile male grupe, a danas su to APT grupe finansirane od strane država.
Razumevanje ovih rizika nije opciono za ozbiljnog učesnika u kriptoprostoru. To je polazna tačka.