QuadrigaCX Borsasının Başına Gelenler Sizi de Etkiler mi?
2018 yılı öncesinde Kanada’nın en büyük ve en çok kullanıcıya sahip olan Bitcoin borsası QuadrigaCX, 2019 yılının başlarına kadar nispeten birçok uluslararası kullanıcının adını bile duymadığı bir platformdu. Ancak borsa, 2019 yılının başlarında su yüzüne çıkmaya başlayan ”talihsiz olaylar serüveni” sonrası neredeyse bütün ülkelerdeki kripto para topluluklarının gündemine oturdu.
QuadrigaCX ilk olarak 2018 yılının başlarında bir Kanada bankası tarafından fonlarının dondurulması olayı ile gündeme gelmişti. Daha sonra davayı kazanan borsanın fonları kullanıcılara hala iade etmemesi, şüpheleri doğurdu ve şüpheler de sonunda korkunç sonuçlara açıldı. Kripto para borsasının CEO’sunun Hindistan içerisinde hastalıktan kaynaklı ölümü sonrası, kullanıcıların borsadaki 150 milyon doları üzerindeki fonları geri gönderilemiyordu.
Borsa yetkilileri fonların CEO’ya ait bir soğuk depolama cüzdanı içerisinde yer aldığını ve gizli anahtarın sadece CEO tarafından bilindiğini ve ellerinden gelen hiçbir şey olmadığını ifade etse de, birikimlerinin büyük bir çoğunluğunu kaybeden kullanıcılar soluğu Yeni İskoçya mahkemesinde aldı ve dava hala devam etmekte.
Kripto Para Birimleri, Borsalarda Güvenli Mi?
Yaşanan durum ne kadar tatsız olsa da, ortaya kripto para birimlerinin aslında nasıl depolanması gerektiği sorusunu çıkardı. Kripto para topluluğunun büyük bir kısmı kripto paraların kullanıcıların kendi sorumluluğunda olduğunu düşünürken, bunların çok küçük bir kısmı gerçekten de dediğini yapıp sorumluluğu kendi kendine üstlenmekte. Ciddi bir orana sahip kullanıcı kitlesi ise çoğunlukla kripto para borsaları veya buna benzer platformlarda depolama yapmakta.
Tabii ki temelde çevrimdışı veya soğuk cüzdan olarak bilinen depolama yöntemleri, siber saldırılara karşı bütün çevrimiçi yöntemlere göre daha güvenli olarak görülse de, bunların da kullandıkları SPOF sistemi yüzünden açıklara ve dezavantajlara sahip. Bitmatrix bünyesinde blockchain teknolojisi araştırmacısı olarak görev alan Elif Kaya, tek hata noktası veya single point of failure (SPOF) olarak bilinen sistem hakkında Medium üzerinden yayınladığı bir makalesinde de konuya değindi ve şunları ifade etti:
”Varlıklar üzerindeki tüm kontrol bir sunucuya veya bir kişiye bırakıldığında, bu tek kişi veya sunucu hacklenirse veya QuadrigaCX durumunda olduğu gibi bu tek kişi ölürse, bu varlıkları tamamen ve geri alınamaz bir şekilde kaybedersiniz. Bir devrenin tasarımında, uygulamasında veya konfigürasyonunda oluşacak bir hata veya arızanın, tüm sistemin çalışmayı durdurmasına neden olabileceği riskini taşıyan sistemlere SPOF denir.”
Çoklu İmza Çözüm Olabilir Mi?
İlk başlarda özellikle bu sistemin açığını kapatmak için piyasaya sunulan çoklu imza sistemi de kendi içerisinde belirli sistemsel açıklara sahip. Adından da anlaşılabileceği üzre kullanıcının sahip olduğu BTC’leri üzerindeki sorumluluğu bölmek adına bir Bitcoin transferini onaylamak için birden fazla anahtar gerektiren bu sistem, ilk başta bir Çoklu İmza adresi oluşturulması ve o adresle ilgili kaç anahtarın bir transferi onaylayabileceğinin belirlenmesi şeklinde aktif hale getirilebilir.
Ancak söz konusu sistemin eksiklikleri, gizlilik ve imzaya sahip kişiler konusunda konulan kısıtlama gibi duruyor. Özellikle gizlilik ve yapılan işlemlerinin anonim kalmasını talep eden kurumlar veya kişiler, sistem gereği imzalayan her kişinin kimliğinin gösterilmesini pek cazip bulayabilir.
Bunun yanı sıra ilk başta bir işlemin kaç imza gerektirdiği belirlendikten sonra, bunun tekrar değiştirilmesi ve ”5 kişi yerine 4 kişi” olsun gibi durumlar, sadece ve sadece Çoklu İmza adresinin yeniden sil baştan oluşturulması ile mümkün olmakta. Bu da beraberinde bir adresten diğer adrese bütün bakiyenin aktarılması gibi sıkıntılı durumları beraberinde getiriyor.
Bütün bunlara ek olarak Çoklu İmza sisteminde transfere onay veren her bir tarafın kendine ait ayrı bir anahtarı olduğundan dolayı, transferi doğrulayacak olan taraf her imzayı ayrı ayrı kontrol etmek durumunda kalıyor ki bu da büyük bir eksiklik ve yavaşlık olarak göze çarpmakta.
Eşik Değerli İmza Sistemi Nedir?
Adı yeni yeni duyulmaya başlanan Eşik Değerli İmza sistemi, sadece bir halka açık anahtar, bir gizli anahtar ve buna ek olarak bir adet imza gerektirmesi ile dikkat çekmekte. Aynı tek bir banka kasasını açmak için birden çok anahtar gerekmesi durumu gibi gözüken Eşik Değerli İmza sisteminde, her kullanıcı aynı halka açık anahtara ve gizli anahtarın ‘eşsiz’ bir parçasına sahip olmakta.
Temelde imza yetkisi sizin belirleyeceğiniz kadar kişi arasında bölünmekte ve eşik değer için belirlediğiniz değerin 1 üstüne ulaşıldığında, transfer imzalanabilmekte. Daha açık anlatmak gerekirse, 5 imzayı eşik değer olarak belirler ve toplamda 5 kişiye sahip olursanız işlem onaylanmaz ancak eşik değeri 5 olarak belirleyip 6 kişinin imzasına sahip olursanız, imzanın kim tarafından atıldığı çok fark etmeden, direkt olarak transfer onaylanabilmekte. Bunun yanı sıra güvenlik açısından da kötü amaçlı bir kişinin işlem yapmak için eşiğin 5 olarak belirlendiği grupta, en az 6 kişiyi ele geçirmesi gerekmekte ve bu durum günümüz şartlarında oldukça zorlu gözüküyor.
Çoklu İmza sisteminde dezavantaj olarak öne çıkan gizlilik eksikliği, Eşik Değerli İmza sisteminde avantaj olarak karşımıza çıkmakta. Sistem imza üretmek için özel bir iletişim yöntemi kullanır ve imza atanlar gruptan olduğu sürece kimin imza attığı hiçbir şekilde belirlenemez ve fark oluşturmaz. Transferin geçerli olup olmadığı yetkisine sahip merci ise sadece tek bir imzayı kontrol ederek hem zamandan hem de verimden kazanır.
Çoklu İmza sisteminde güvenlik politikasını değiştirmek için sistemi yeniden kurmanız ve farklı bir adrese geçmeniz gerekirken, Eşik Değerli İmza sisteminde buna da gerek yok ve istenildiği taktirde güvenlik protokolü değişimi yapılabilmekte. Tabii ki bu sistemin de kendince ekstra gereklilikleri bulunuyor ve bunların arasında ön plana çıkanları çok fazla kişi tarafından pek bilinmemesi ve gerekli cihazların birçok kurum veya sistemde bulunmaması olarak ifade edilebilir.
Ancak yine de QuadrigaCX kripto para borsasının söz konusu sistemi kullanması durumunda 150 milyon doları kaybetmemiş olabileceği ihtimali, sistemin özünde ne kadar verimli ve ‘garanti’ bir mekanizma olduğunu kanıtlamakta.
Son olarak, derlediği bilgiler sayesinde bu haberin hazırlanmasına yardımcı olan Bitmatrix‘e ve blockchain araştırmacısı Elif Kaya‘ya teşekkür ederiz.