What is the main goal of a gas griefing attack?

The main goal of a gas griefing attack is to disrupt or degrade the functionality of a smart contract or protocol, rather than to directly steal funds. The attacker aims to cause inconvenience, block users, or break features.

How does gas griefing exploit EVM rules?

Gas griefing exploits the EVM's rule that forwards 63 out of 64 parts of remaining gas to external calls. Attackers supply just enough gas for the outer function but not enough for a critical inner external call, causing it to fail silently if its return value is not checked.

What is the most important defense against gas griefing?

The most important defense against gas griefing is to always check the return values of external calls. By using `require(success)` or similar checks, contracts can revert if an external call fails, preventing incomplete state changes.

What is the 'pull over push' pattern, and why is it useful?

The 'pull over push' pattern is a withdrawal strategy where a contract records what it owes each user, and users then independently withdraw their funds. It's useful because it isolates withdrawal failures, making it resilient to gas griefing, as one user's failure doesn't affect others.

Can gas griefing lead to direct financial loss for the attacker?

Typically, gas griefing does not lead to direct financial loss for the attacker beyond the gas cost of the transaction. The attacker's primary gain is the disruption or degradation of the target protocol, not monetary profit.

Akıllı Sözleşmelerde Gaz Kesi Nedir? Saldırı ve Savunma (2026)

June 8, 2026 — By Whatsertrade in Tutorials

Akıllı sözleşmelerdeki gas sıkıntısını anlayın: Doğrudan hırsızlık olmadan protokolleri bozmak için EVM kurallarından yararlanan bir saldırı. Savunma stratejilerini öğrenin.

Hızla gelişen Web3 dünyasında, akıllı sözleşme güvenliğinin inceliklerini anlamak çok önemlidir. 2026 ve sonrasına baktığımızda, hem geliştiricilere hem de kullanıcılara meydan okuyan yeni saldırı vektörleri ve gelişmiş istismarlar ortaya çıkmaya devam ediyor. Böylesine ince ama güçlü bir tehdit, fonları doğrudan hortumlamadan merkezi olmayan uygulamaları felce uğratabilen bir saldırı olan gaz kaybıdır.

Bu kılavuz, akıllı sözleşmelerdeki gas sıkıntısını açığa çıkaracak, mekanizmalarını, temel EVM davranışlarından nasıl yararlandığını ve en önemlisi geliştiricilerin kullanabileceği sağlam savunma stratejilerini açıklayacaktır. İster deneyimli bir geliştirici, ister DeFi kullanıcısı olun, ister yalnızca blockchain güvenliğine meraklı olun, bu kavramı kavramak, merkezi olmayan finansın geleceğine yön vermek için çok önemlidir.

Diagram illustrating how gas is forwarded to an external call in the EVM and how insufficient gas can lead to silent failure. — EVM'nin 63/64 gaz yönlendirme kuralı, gaz giderme saldırılarında kullanılan kritik bir bileşendir.

Akıllı Sözleşmelerde Gaz Kesi Nedir?

Gaz kaybı, bir saldırganın kasıtlı olarak bir sözleşmenin dış işlevinin başarılı olması için yeterli miktarda gaz sağladığı, ancak en önemlisi, dış işlevin yapmaya çalıştığı bir iç harici alt çağrı için yeterli olmadığı bir akıllı sözleşme saldırısıdır. Bu ince manipülasyon, iç çağrının sessizce başarısız olmasına neden olarak sözleşmede eksik bir durum değişikliğine yol açar.

Bu saldırının temelinde niyeti yatmaktadır: Yas tutma, fonları doğrudan çalmak yerine bir protokolün işlevselliğini bozmayı veya bozmayı amaçlamaktadır. Saldırgan bu istismardan herhangi bir parasal değer elde etmeyebilir ancak özellikleri etkili bir şekilde bozabilir, diğer kullanıcıların meşru eylemler gerçekleştirmesini engelleyebilir veya genel olarak kötü bir kullanıcı deneyimi yaratabilir. Akıllı sözleşmelerin yürütülmesine özel bir hizmet reddi (DoS) saldırısı biçimidir.

Anahtar paket: Gaz kederi, doğrudan fon çalmadan dahili harici çağrıların yetersiz gaz nedeniyle sessizce başarısız olmasına neden olarak işlevselliği bozmak için tasarlanmış akıllı bir sözleşme saldırısıdır.

Gaz Kederi EVM Kurallarını Nasıl İstismar Ediyor?

Ethereum Sanal Makinesi'nin (EVM) harici aramalar için gaz yönlendirmeyle ilgili özel bir kuralı vardır: kalan gazın 64 kısmından 63'ünü harici aramalara iletir. Yeniden giriş saldırılarının tüm gazı tüketmesini önlemek için bir güvenlik önlemi olarak tasarlanmış olsa da bu kural, gaz gidermede silah haline getirilebilir.

Kontrat harici arama yaptığında çağrılan fonksiyon iletilen 63/64'lerden daha fazla gaza ihtiyaç duyuyorsa gazı bitip geri dönecektir. Eğer arayan sözleşme, bu harici aramanın dönüş değerini açıkça kontrol etmezse, sanki arama başarılı olmuş gibi devam edecek ve dahili durumunu tutarsız bırakacaktır. Bu, gaz kederinin istismar ettiği kritik güvenlik açığıdır.

Bir sözleşmenin, ödülleri tek bir işlemde birden fazla kullanıcıya dağıtmaya çalıştığı bir senaryoyu düşünün. Bir saldırgan alıcılardan biriyse ve gaz kaybı nedeniyle ödül dağıtım alt çağrısının kasıtlı olarak başarısız olmasına neden olursa, tüm işlem geri dönebilir veya daha kötüsü tamamlanmamış bir durumla ilerleyerek diğer yasal kullanıcıların ödüllerini almasını engelleyebilir. İşlem hacimlerini ve sözleşme etkileşimlerini izleyen DEXTools gibi platformlarda bu tür kesintilerin izlenmesi, bazen bu tür saldırıların göstergesi olan olağandışı modelleri ortaya çıkarabilir.

Gaz Kederine İlişkin Yaygın Senaryolar

Gaz kaybı genellikle akıllı sözleşmelerin diğer sözleşmelerle veya harici adreslerle güçlü hata yönetimi olmadan etkileşime girdiği durumlarda ortaya çıkar. Bu yaygın senaryoları anlamak, saldırıyı tanımlamanın ve önlemenin anahtarıdır.

Toplu İşlemler: Tokenların bir alıcı listesine dağıtılması veya birden fazla harici sözleşme işlevinin çağrılması gibi, tek bir işlemde birden fazla harici işlemi gerçekleştirmeye çalışan sözleşmeler. Bu alt çağrılardan biri gaz kaybı nedeniyle başarısız olursa, ya partinin tamamı geri dönebilir ya da sözleşmeyi tutarsız bir durumda bırakabilir.
Para Çekme Fonksiyonları: Tek bir işlemde birden fazla kullanıcıya fon aktaran sözleşmeler ('anında ödeme' modeli). Saldırgan, belirli bir ödemenin başarısız olmasına neden olabilir, böylece sonraki ödemeleri engelleyebilir veya herkes için tüm para çekme sürecini geri alabilir.
Oylama veya Açık Artırma Mekanizmaları: Bir sözleşmenin, bir oylamanın kaydedilmesi veya bir açık artırmanın sonuçlandırılması gibi güncelleme durumlarına yönelik harici çağrıların başarılı bir şekilde yürütülmesine dayandığı karmaşık etkileşimler. Acı verici bir saldırı bu durum geçişlerini engelleyebilir.
Dönüş değeri kontrolü olmayan herhangi bir harici çağrı: Temel olarak, başka bir sözleşmeye veya adrese yapılan herhangi bir harici arama, call(), send(), veya transfer() Çağıran sözleşmenin boole dönüş değerini açıkça kontrol etmediği durumlar hassastır.

Dikkat edin: Gaz sıkıntısının en tehlikeli yönü dış aramaların sessizce başarısız olmasıdır. Bir sözleşme, başarısız bir alt çağrıyı kabul etmeden devam ederse, ciddi tutarsızlıklara yol açabilir ve daha fazla istismara veya protokolün tamamen bozulmasına kapı açabilir.

Flowchart comparing the 'push' and 'pull' payment patterns in smart contracts, highlighting security differences. — 'Pull over push' modeli, ödeme dağıtımında gaz sıkıntısına karşı güçlü bir savunmadır.

Gaz Kederine Karşı Savunma Stratejileri

Gaz sorununu önlemek, dikkatli akıllı sözleşme tasarımı ve en iyi uygulamalara bağlı kalmayı gerektirir. Birincil amaç, dış çağrıların amaçlandığı gibi başarılı olmasını veya başarısız olmaları durumunda sözleşmenin bu başarısızlığı incelikle ve tutarlı bir şekilde ele almasını sağlamaktır.

Harici Aramaların Dönüş Değerlerini Her Zaman Kontrol Edin

Bu en temel ve kritik savunmadır. Bir sözleşme aşağıdaki gibi düşük düzeyli işlevleri kullanarak harici bir çağrı yaptığında .call(), .send(), veya .transfer(), bu işlevler başarıyı veya başarısızlığı belirten bir boole değeri döndürür. Geliştiricilerin her zaman bu dönüş değerini kontrol etmesi ve uygun şekilde tepki vermesi gerekir.

Harici arama başarısız olursa (geri döner) false), arayan sözleşme şunu kullanarak işlemin tamamını geri döndürmelidir: require(success, "External call failed") veya hatayı durum tutarlılığını koruyacak şekilde ele alın. Bu, gaz kaybının neden olduğu sessiz arızayı önleyerek, eksik bir durum değişikliğinin asla gerçekleşmemesini sağlar.

Pull Over Push Geri Çekme Modelini Benimseyin

Fon veya ödül dağıtımında, çekme itme modeli gaz sıkıntısına karşı güçlü bir savunmadır. Sözleşmenin ödemeleri satır içi bir döngüde birden fazla kullanıcıya göndermesi yerine, sözleşme her kullanıcıya ne kadar borçlu olduğunu kaydeder ve daha sonra her kullanıcı bağımsız olarak parasını çeker.

Bu model para çekme sürecini merkezi olmayan bir hale getirir. Bir kullanıcının para çekme işlemi aksarsa (yani kendi para çekme işlemi için yeterli miktarda gaz sağlamazsa), bu yalnızca onun işlemini etkiler ve diğer kullanıcıların para çekmesine engel olmaz. Bu, ödeme dağıtım mekanizmalarının esnekliğini önemli ölçüde artırır.

İtme Deseni: Sözleşme, tek bir işlemde birden fazla alıcıya ödeme yapılmasını başlatır. Alıcılardan birinin ödemesi başarısız olursa gaz sıkıntısına karşı savunmasız kalırsınız.
Çekme Deseni: Sözleşme bireysel bakiyeleri takip eder ve her alıcı kendi para çekme işlemini başlatır. İzole başarısızlıklar, kedere karşı dayanıklıdır.

Harici Aramalarda Gaz Limiti Hususları

Dönüş değerlerinin kontrol edilmesi öncelikli olmakla birlikte, harici aramalar için gas limitlerinin anlaşılması da önemlidir. Kullanırken .call(), harici görüşme için gas limiti belirleyebilirsiniz. Ancak, çok düşük bir limit ayarlamak yanlışlıkla yasal aramaların başarısız olmasına neden olabileceğinden ve çok yüksek bir limit ayarlamak işlem maliyetlerini gereksiz yere artırabileceğinden, bu dikkatli bir şekilde yapılmalıdır.

EVM'nin 63/64 gaz yönlendirme kuralı, dış fonksiyonda yalnızca az miktarda gaz kaldığında, açık gaz sınırlarına bakılmaksızın iç çağrının yeterli miktarda alamayabileceği anlamına gelir. Bu nedenle, tüm iç içe geçmiş harici çağrılar da dahil olmak üzere tüm işlem için yeterli gazın sağlanması, sağlam tasarımın bir parçasıdır.

Saldırı ve Savunma Özeti

Anlayışımızı pekiştirmek için gaz yayan saldırıların özelliklerini ve bunlara karşılık gelen savunma mekanizmalarını karşılaştıralım.

Görünüş	Gaz Kederli Saldırı Özellikleri	Etkili Savunma Stratejileri
Gol	Protokol işlevselliğini bozar, düşürür veya engeller; doğrudan fon hırsızlığı yok.	Protokol sağlamlığını, tutarlı durumu ve kullanıcı özerkliğini sağlayın.
Mekanizma	EVM 63/64 gaz yönlendirme kuralını kullanır; harici alt çağrı sessizce başarısız oluyor.	Tüm harici aramaların dönüş değerlerini açıkça kontrol edin.
Savunmasız Sözleşmeler	Dönüş değerlerini kontrol etmeden harici arama yapan sözleşmeler; 'itme' ödeme modelleri.	Ödemeler için 'pull over push' para çekme modelini uygulayın.
Etki	Eksik durum değişiklikleri, hizmet reddi, engellenen kullanıcılar, bozuk işlevsellik.	Harici arama başarısızlığında işlemleri geri alın; Kullanıcı etkileşimlerini izole edin.
Saldırgan Kazanımı	Genellikle sıfır parasal kazanç, yalnızca bozulma.	Savunmalar doğru uygulanırsa saldırganın kazancı mümkün değildir.

Sonuç

Gaz kaybı, doğrudan fon hırsızlığı kadar gösterişli olmasa da, merkezi olmayan uygulamaların güvenilirliği ve kullanıcı deneyimi açısından önemli bir tehdit oluşturuyor. Akıllı sözleşme ekosistemi 2026 ve sonrasına doğru olgunlaştıkça, bu tür gizli saldırı vektörlerini anlamak ve azaltmak, hem geliştiriciler hem de kullanıcılar için çok önemli olacaktır. Geliştiriciler, harici çağrıların dönüş değerlerini özenle kontrol ederek ve para çekme için çekme itme gibi sağlam kalıpları benimseyerek, daha esnek ve zarar görmeye dayanıklı akıllı sözleşmeler oluşturabilirler.

Bu saldırı modelleri hakkında bilgi sahibi olmak ve en iyi uygulamaları uygulamak, Web3 alanının sürekli güvenliği ve büyümesi açısından çok önemlidir. Geliştirici topluluğunun bu savunma önlemlerini benimseme konusundaki dikkatliliği, sonuçta daha güvenli ve güvenilir, merkezi olmayan bir geleceğe yol açacaktır.

Sıkça Sorulan Sorular

Gaz yaslama saldırısının asıl amacı nedir?

Gaz kaybı saldırısının temel amacı, doğrudan fon çalmak yerine akıllı bir sözleşmenin veya protokolün işlevselliğini bozmak veya bozmaktır. Saldırganın amacı rahatsızlık vermek, kullanıcıları engellemek veya özellikleri bozmak.

Gaz kaybı EVM kurallarından nasıl yararlanır?

Gaz kaybı, EVM'nin kalan gazın 64 parçasından 63'ünü harici çağrılara ileten kuralından yararlanır. Saldırganlar dış işlev için yeterli miktarda gaz sağlar, ancak kritik bir iç dış çağrı için yeterli değildir, bu da dönüş değeri kontrol edilmezse sessizce başarısız olmasına neden olur.

Gaz sıkıntısına karşı en önemli savunma nedir?

Gaz sıkıntısına karşı en önemli savunma, harici çağrıların dönüş değerlerini daima kontrol etmektir. 'Require(success)' veya benzeri kontroller kullanılarak, harici bir çağrı başarısız olursa sözleşmeler geri döndürülebilir ve böylece eksik durum değişiklikleri önlenebilir.

'Push over push' modeli nedir ve neden faydalıdır?

'Pull over push' modeli, bir sözleşmenin her kullanıcıya olan borcunu kaydettiği ve kullanıcıların daha sonra bağımsız olarak fonlarını geri çektiği bir para çekme stratejisidir. Bir kullanıcının başarısızlığı diğerlerini etkilemediğinden, para çekme hatalarını izole ederek gaz kaybına karşı dayanıklı hale getirmesi nedeniyle faydalıdır.

Gaz sıkıntısı saldırgan için doğrudan maddi kayba yol açabilir mi?

Tipik olarak gaz kaybı, saldırgan için işlemin gaz maliyetinin ötesinde doğrudan mali kayba yol açmaz. Saldırganın birincil kazancı, parasal kazanç değil, hedef protokolün bozulması veya bozulmasıdır.