Pentagon’un açıkladığı bir rapora göre, blok zincir sanıldığı gibi merkezsiz değil ve saldırılara karşı savunmasız olduğu. Üstelik yazılımı eskimiş durumda.
Pentagon’un araştırma kolu, Savunma İleri Araştırma Projeleri Ajansı (DARPA), bir güvenlik araştırma kuruluşu olan Trail of Bits’i blok zincirini araştırmak için görevlendirdi. Trail of Bits, bu araştırma sırasında küresel pazarda önde gelen iki kripto para birimi olan Bitcoin ve Ethereum’a odaklandı.
“Blockchainler Merkezsiz mi? Dağıtılmış Defterlerde İstenmeyen Merkezler mi? [1]” başlıklı rapor, bir grubun tüm blok zinciri sistemini ele geçirerek aşırı ve merkezi kontrol oluşturabileceğini açıklıyor.
Rapor yeni olmakla birlikte, 2014’den beri bilinen % 51 saldırısını başka şekilde açıklıyor durumunda. Trails of Bits şirketi, Bitcoin blockchain’ini kesmek için yalnızca dört varlık ve Ethereum’unkini kesmek için yalnızca iki varlık gerektiğini söylüyor. Ek olarak, tüm Bitcoin trafiğinin %60’ı yalnızca üç ISS’den geçiyor. Güvenlik firması, yazılımın ve blok zincir protokollerinin eskimiş ve şifrelenmemiş olduğunu yazıyor.
Madencilik Havuzlarında Güvenlik Görünümü
Trail of Bits araştırmacıları, Block Chain kodunu incelemek için madencilik havuzu sitelerine birden fazla hesap kaydettirdiğinde de ilginç bulgular yakaladılar. Trail of Bits’e göre, önde gelen bir küresel madencilik havuzu olan ViaBTC, hesaplarına “123” şifresini atar. Başka bir madencilik kuruluşu olan Pooling, kimlik bilgilerini hiç doğrulamaz ve 2010’dan bu yana 1,2 milyondan fazla Bitcoin çıkaran Slushpool, kullanıcılara şifre alanını görmezden gelmelerini söyler. Kombine olarak, bu üç madencilik havuzu, Bitcoin hash oranının veya toplam bilgisayar gücünün yaklaşık %25’ini oluşturuyor.
Trail of Bits, kripto madencileri tarafından kullanılan düğümlerin ucuz bir bulut sunucusu kullanılarak kolayca dağıtılabileceği konusunda uyarıyor. Bunlar, Sybil saldırısı olarak bilinen bir saldırıda ağı doldurmak için kullanılabilir. Sybil saldırıları, kötü niyetli bir aktörün düğümlere erişimi reddederek kullanıcıları izole etmeye çalıştığı bir tutulma saldırısı gerçekleştirebilir.
Trail of Bits, ortak düğümlerin yoğun bir alt ağının, kendi aralarında işbirliğine varabileceğini gösteriyor. Sybil saldırısının bir örneği, Rusya’dan olduğuna inanılan kötü niyetli bir aktörle bağlantılıydı. Saldırgan, Tor çıkış düğümlerinin %40’ına kadar kontrolünü ele geçirdi ve bunları Bitcoin trafiğini yeniden yazmak için kullandı.
Uzmanlar Trail of Bits araştırmasında gösterdiği bir sorunu, mayıs 2022’de sabit para TerraUSD (ABD dolarına 1:1 sabitlendi) çökmesi ile örnekliyorlar. Blok zincirinde çalışan algoritma çöktüğünde TerraUSD 30 sente düştü. Finans uzmanları, Luna kazasının blok zincirinin riskleri hakkında önemli bir ders olduğu konusunda uyarıyor.
Yazılım Eskimiş Durumda
Ek olarak, block chain’in yazılımındaki hataları ve açıklar da sorun teşkil ediyor. İdeal olarak, tüm düğümler yazılımın aynı en son sürümü altında çalışmalıdır, ancak durum böyle değildir. Trail of Bits, yazılım hatalarının zaten Ethereum’da blok zinciri hatalarına neden olduğunu ve Bitcoin düğümlerinin %21’inin savunmasız olduğu bilinen Bitcoin Core istemcisinin daha eski bir sürümünü çalıştırdığını söylüyor.
Block Chain Güvenliği Tüm Endüstriler için Sorun…
Trail of Bits raporu, “Bir blok zincirinin güvenliği, yazılımın ve protokollerin güvenliği ile zincir dışı yönetişim veya düzenlemelere bağlıdır” diyor ve bu teknolojiyi kullanacak olanları uyarıyor.
Günümüzde en önemli konu “güvenlik” olduğu için blockchain raporu öncelikle kripto para ve fintech endüstrisi için kötü haber olmakla birlikte, tüm endüstriler için önemli bir soruna işaret ediyor. Günümüzde block chain (blok zincir) uygulamaları, çevikliği, hızlı takibi, potansiyeli ile günümüzde pek çok endüstri tarafından kullanılıyor durumunda. Bir çok büyük firma milyonlarca $’lık blockchain yatırımları yapıyor.
Tam karşılarında ise Blockchain konusunda hizmet geliştiren firmalar var. Örneğin Microsoft, 2016 yılında bir hizmet olarak blok zinciri (BaaS) projesi olan Project Bletchley’i geliştirdi. 2021’de Microsoft, kripto belirteçleri oluşturacak blok zinciri yazılımı için bir ABD patenti aldı.
Microsoft teknik çözümlere odaklanırken, Meta Platforms veya Twitter gibi diğer şirketler yatırımlarını ana akım blok zinciri kullanımına yönlendiriyor. 10 Kasım 2021’de Twitter, blockchain ve Web3 hizmetlerini oluşturmak için özel bir kripto ekibi olan Twitter Crypto’yu resmen başlattı. 2015 yılından bu yana kripto para birimi ile çalışan kripto uzmanı Tess Rinearson, ekibe liderlik etmesi için çağrıldı. Twitter, kripto ödemeleri, kripto ipuçları, içerik oluşturuculardan para kazanma, NFT’ler ve merkezi olmayan sosyal medyayı araştırıyor ve geliştiriyor.
Kasım 2021’de Apple CEO’su Tim Cook, NYT Dealbook Konferansı sırasında şirketin kripto para birimlerine baktığını söyledi. Cook, Apple’ın tam olarak ne üzerinde çalıştığını açıklamazken, NFT’lere ve Apple Pay’de kripto kabul ettiğine dair ipuçları verdi.
Tüm büyük teknoloji şirketleri –Meta Platforms, Spotify, Paypal, Twitter, Google, Apple, Alibaba, Microsoft ve diğerleri– yeni gelir kaynakları aramak için Web3 ve blockchain’e dönüyor.
Blok zincirinin en büyük zorluklarından biri, küresel olarak genişleyen boyutları ve çeşitliliğidir. Savunmasız bir blok zinciri ortamı bu şirketleri, yatırımlarını, yıllarca süren çalışmalarını ve yüz binlerce işi riske atıyor.
[1] Are Blockchains Decentralized? – Unintended Centralities in Distributed Ledgers