Web3 dünyasında yaşanan en büyük siber saldırılar genellikle akıllı sözleşme açıklıklarından değil, altyapı zafiyetlerini hedef alan saldırılardan kaynaklanıyor. Phishing kampanyaları, DNS sahteciliği, npm paketleri aracılığıyla yapılan saldırılar ve bulut yapılandırmalarındaki hatalar, projelerin milyonlarca dolara mal olabiliyor. Bu tehditleri erkenden tespit etmek ve blok zinciri protokollerine güvenilir istihbarat sağlamak amacıyla geliştirilen OCTIO, Google’ın yeni nesil dil modeli Gemma 4 ile entegre çalışıyor.
OCTIO, canlı phishing ve zararlı yazılım verilerini izleyerek her tehdit göstergesini analiz eden, sınıflandıran ve blok zincirinin kullanabileceği formatta depolayan bir sistemdir. Projenin temel amacı, Web3 projelerini hedef alan saldırıların %80’inden fazlasının kaynaklandığı Web2 altyapı zafiyetlerini erkenden tespit etmek ve önlemektir.
OCTIO Nasıl Çalışıyor?
OCTIO sistemi, beş temel bileşenden oluşuyor:
- monitor.py: Canlı phishing verilerini izleyen ve tehditleri sınıflandıran Python betiği.
- registry.py: Onaylanmış tehdit göstergelerini blok zincirine kaydeden kayıt sistemi.
- oracle.py: DeFi protokollerinin tehdit sorgulamalarını gerçekleştiren arayüz.
- correlation.py: Mevcut tehditleri geçmiş siber saldırılarla ilişkilendiren analiz aracı.
- dashboard.py: Sistemdeki tüm tehditleri görsel olarak izlemeyi sağlayan kontrol paneli.
Sistemi çalıştırmak için sadece beş komut yeterli:
python3 monitor.py # Canlı phishing URL'lerini izle ve sınıflandır
python3 registry.py # Onaylanan tehditleri blok zincirine kaydet
python3 oracle.py # Protokollerin tehdit sorgulamalarını gerçekleştir
python3 correlation.py # Tehditleri geçmiş saldırılarla ilişkilendir
python3 dashboard.py # Sistem genelini görüntüleOCTIO’nun Güç Kaynağı: Google Gemma 4
OCTIO’nun en kritik bileşeni, tehdit analizi ve sınıflandırmasında kullanılan Google Gemma 4 modelidir. Projede, 27B parametreye sahip Gemma 3 27B Instruct modelinden yararlanılıyor. Bu model, sadece yüzeysel desen eşleştirmesi yapmak yerine, tehditleri derinlemesine analiz edebilme yeteneğine sahip.
Gemma 4, OCTIO sisteminde üç farklı görevde kullanılıyor:
1. Tehdit Sınıflandırması (monitor.py)
Sistem, OpenPhish adlı sürekli güncellenen phishing veritabanından URL’leri çekiyor ve her birini Gemma 4’e göndererek tehdit olup olmadığını, şiddetini ve hedef alınan markayı analiz ediyor. Örneğin, aşağıdaki URL incelendiğinde:
{
"is_threat": true,
"threat_type": "PHISHING",
"severity": "HIGH",
"target": "DPD (Kargo Hizmeti)",
"reasoning": "URL, DPD’nin yaygın bir yanlış yazımını ve şüpheli bir alan uzantısını kullanarak meşru kargo hizmetini taklit etmeyi amaçlıyor. Bu saldırı, kripto para hesaplarına erişim sağlamak için kimlik bilgilerini çalmaya yönelik olabilir."
}Gemma 4, sadece anahtar kelime eşleştirmesi yapmak yerine, tipografik sahteciliği (typosquatting) ve marka taklitini doğru bir şekilde tespit ediyor ve tehdidin kripto para bağlamındaki önemini vurguluyor.
2. Risk Değerlendirmesi (oracle.py)
DeFi protokolleri, kullanıcıları korumak için OCTIO’nun oracle arayüzüne başvuruyor. Örneğin, aşağıdaki URL sorgulandığında:
- **
Gemma 4, bu URL’nin blok zincirdeki kayıtlarda yer almasa bile, sosyal mühendislik amacını anlayarak tehdit düzeyini "DİKKAT" olarak sınıflandırıyor. Geleneksel kural tabanlı sistemler bu URL’yi temiz olarak değerlendirirken, Gemma 4’in analizi çok daha hassas sonuçlar üretiyor.
3. Olay İlişkilendirmesi (correlation.py)
OCTIO, canlı tehditleri geçmişte yaşanan büyük saldırılarla karşılaştırarak ilişkisel analiz yapıyor. Örneğin, beş farklı phishing URL’si incelendiğinde, sistem aşağıdaki saldırılarla bağlantı kurabiliyor:
- Ronin Network saldırısı ($625 milyon kayıp)
- Curve Finance DNS sahteciliği ($570 bin kayıp)
- MyEtherWallet BGP saldırısı ($17 milyon kayıp)
Bu sayede, DeFi protokollerine tehditler hakkında eyleme geçirilebilir öneriler sunulabiliyor.
Blok Zincir Entegrasyonu ve Veri Depolama Verimliliği
OCTIO’nun blok zincir bileşeni, ThreatRegistry.sol adlı Solidity sözleşmesiyle simüle ediliyor. Sistemde, tehditli alan adları ham metin yerine keccak256 hash’leriyle depolanıyor. Bu yaklaşım, depolama maliyetlerini %60 ila %90 arasında azaltırken, aynı zamanda tehdit veritabanının bir phishing rehberi olarak kullanılmasını da engelliyor.
Mevcut Sınırlamalar ve Gelecek Planları
OCTIO, halen bir prototip aşamasında bulunuyor ve bazı önemli sınırlamalar içeriyor:
- Python tabanlı kayıt sistemi, gerçek blok zincirine henüz entegre edilmedi. ThreatRegistry.sol, Sepolia testnet’ine dağıtılmaya hazır olsa da, canlı bir uygulamaya geçmek için testnet ETH ve Foundry betiği gerekiyor.
- Canlı tehdit izleme, sadece OpenPhish veritabanına bağlı. Gelecekte Certstream (sertifika şeffaflığı), PassiveDNS (DNS değişiklikleri), SecurityTrails ve npm audit gibi kaynaklardan da veri toplanması planlanıyor.
- Çok taraflı doğrulama mekanizması henüz uygulanmadı. Beyaz kağıtta önerilen bu sistem, kayıtlı araştırmacıların tehdit göstergelerini oylamasıyla çalışacak ve sahte tehditlerin sisteme girmesini engelleyecek.
Gemma 4’ün OCTIO’daki başarısı, tehdit analizi alanında yeni olanaklar sunuyor. Sistem, tehditlerin sürekli evrilmesiyle birlikte kural tabanlı sistemler gibi yeniden eğitilmeye ya da güncellenmeye gerek kalmadan adapte olabiliyor. Gelecekte, OCTIO’nun Web3 ekosisteminin güvenliğine önemli katkılar sağlaması bekleniyor.
Yapay zeka özeti
Web3 projelerindeki siber saldırıların %80’i akıllı sözleşme açıklıklarından değil, phishing ve DNS saldırıları gibi altyapı zafiyetlerinden kaynaklanıyor. OCTIO adlı yeni sistem, Google’ın Gemma 4 modelini kullanarak tehditleri gerçek zamanlı analiz ediyor ve blok zinciri protokollerine güvenilir istihbarat sunuyor.
