Ekonomi

900 bin doların çalındığı Bitcoin projesi zor günlerden geçiyor

2011’de Bitcoin’in piyasaya sürülmesinden sadece iki yıl sonra, Amir Taakia adlı bir grup geliştirici ve açık kaynak kodlayıcı, bitcoin ağına bağlanmanın en bilinen yolu haline geldi. bitcoinCore’a alternatif bir yol geliştirdi.

Libbitcoin markalı bu alternatif yazılım, Bitcoin blok zincirine bağlanmak ve kriptografik anahtarlar oluşturmak için kritik işlevlere sahip kapsamlı bir kitaplığa dönüştü.

Yazılım o kadar popüler oldu ki, Bitcoin eğitimcisi Andreas Antonopoulos’un ünlü “Mastering Bitcoin” kitabında bile yer aldı.

Ancak son birkaç ayda kullanıcı cüzdanlarından yaklaşık 900.000 doların kaybolmasıyla Libbitcoin’in o kadar da sadık olmadığı ortaya çıktı.

Güvenlik açığını fark eden bilgi güvenliği firması Distrust, Temmuz ayında milksad.info hakkında ayrıntılı bir rapor yayınladı.

Mayıs ortasında, bilgisayar korsanları Libbitcoin’in BX kaşifi tarafından oluşturulan bir dizi cüzdanda güvenlik açıkları keşfetti. Böylece kullanıcılardan gizlice para çalmaya başladılar.

Rapora göre güvenlik açığı, cüzdan kurtarma için kullanılan tohum ifadedeki ilk iki kelimenin “milk” ve “sad” olması nedeniyle “Milk Sad” olarak adlandırıldı.

Cari fiyatlarla yaklaşık 870 bin dolara tekabül eden 29,65 BTC saldırısı, 12 Temmuz’da gerçekleşti ve en değerli saldırı ününü kazandı. Güvensizlik, birden fazla blok zincirinde toplamda en az 900.000 $ çalındığını belirtir.

Trezor ve Ledger gibi donanım cüzdanları hasarsız görünüyor, ancak hala risk altında olan birkaç cüzdan var. Distrust’tan Anton Livaja, 8 Ağustos tarihli bir tweet’te çalınan paranın boyutunun “henüz belirlenmediğini” söyledi.

Kripto yazılımı, cüzdanlarını kurtarmak isteyen kullanıcılara 12 ila 24 kelimelik tohum ifade kombinasyonları sunar. Güvenlik, bu kelimelerin rastgeleliği ile sağlanır.

Ancak, BX’in ürettiği vaatlerin mutlaka rastgele olmadığı ortaya çıktı. Rapor, “iyi bir oyun bilgisayarının kaba kuvvet yaklaşımı kullanabileceğini” belirtiyor; bu, kullanıcının bir çekirdek ifade için olası tüm kelime kombinasyonlarını “bir günden daha kısa sürede” tahmin edebileceği anlamına geliyor.

Rapor şöyle diyor: “Bunu, uzun, rastgele bir parola oluşturan bir parola yöneticisiyle çevrimiçi banka hesabınızın güvenliğini sağlamak gibi düşünün. Ancak, bu parola yöneticisi çoğu kullanıcı için aynı parolaları oluşturur. Kötü niyetli kişiler de bunu fark ediyor ve erişebildikleri tüm hesaplardan para çekiyorlar.”

Ethereum, Zcash, solmakVe dogecoin Milk Sad, Bitcoin ile durmadı. Ethereum, Zcash, Solana ve hatta Dogecoin, etkilenen sekiz blok zincirinin ortasında yer alıyor. Çok zincirli cüzdan uygulamaları olan Cake Wallet ve Trust Wallet’ta da güvenlik açıkları tespit edildi.

Genellikle, çekirdek ifadeler, bitin 128, 192 ve 256 gücüne kadar kelime kombinasyonlarından oluşur.

BX ise sadece 32 bitlik bir alana sahip, yani farklı da olsa yaklaşık 4,3 milyar kelime kombinasyonu sunabiliyor. Rapora göre “Bu göründüğü kadar yüksek bir rakam değil.”

BX’in lider geliştiricisi Eric Voskuil, tohum ifade oluşturucunun inanmadığını kabul etti, ancak durumun yanlış kullanımın bir sonucu olduğunu savunarak bunun yazılımdaki rastgele bir aksaklık olmadığı konusunda ısrar etti. Ayrıca uygulamanın güvenlik açığı konusunda geliştiricileri uyardığını gösteren bir ekran görüntüsü paylaştı.

Voskuil, “Bu, BX veya Libbitcoin’deki bir hata değil. Bu akılsız bir cüzdan geliştirme” dedi.

Bitcoin topluluğundan birkaç kriptograf, bire bir niyetleri olmadığını belirtti.

Bitcoin altyapı şirketi Blockstream’de kriptograf olan Tim Ruffig, “Durum oldukça açık. Senin hatan olduğunu kabul et.”

Bu yazı ilk olarak CoinDesk Türkiye’de yayınlanmıştır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu