Bitcoin’deki Bu Güvenlik Açığı İki Yıl Gizli Tutuldu
Bir araştırmacı, 2 sene önce Bitcoin ağında bir güvenlik açığı keşfetti ve sektörü dijital hırsızlardan korumak için teknik detayları saklı tutmayı seçti. Geçtiğimiz günlerde başka bir kripto parada çıkan aynı güvenlik açığı, 2018’deki olayı gün yüzüne çıkardı.
Bitcoin ağında güvenlik üzerine incelemeler yapan Braydon Fuller 2018 yılında, Bitcoin Core’da temel bir hata keşfetti. Güvenlik araştırmacısı, bu sorunun bilgisayar korsanları tarafından hem Bitcoin hem diğer ağlar için bir avantaja çevrilmesini istemediğinden kamuoyuna açıklama yapmaktan kaçındı. BTC’nin ardındaki yazılım olan Bitcoin Core’daki bu kodlama hatasının farkına vardıktan sonra onu düzelten BTC protokol mühendisi, geçtiğimiz haftaya dek olayla ilgili detayları saklamayı sürdürdü.
Bu Hata Birçok Kötü Sonuç Doğurabilirdi
Braydon Fuller tarafından 2 yıl önce keşfedilen INVDos güvenlik açığı, “denial-of-service” yani hizmet reddi (DoS) sınıfında tanımlayabileceğimiz bir hatadır. Fuller çarşamba günü yayınladığı makalede, bu hatanın kötü niyetli insanların eline geçmesi halinde birçok sonuca sebebiyet verebileceğini açıkladı. Araştırmacı 2018 yılında bu güvenlik açığı ile karşılaştığı esnada, olası bir INVDos saldırısının Bitcoin ekosisteminin %50’sini etkileyebileceğini öne sürdü.
Bu açığın farkına varan hackerlar, %50’den fazla Bitcoin düğümüne (node) ulaşarak birçok zarara sebep olabilirlerdi. Fuller, kötü niyetli kimselerin bu düğümlere ulaşarak onları kapatmaları halinde, yapılan madencilik eylemlerinin boşa gidebileceğini ve bloklarda gecikmeler yaşanabileceğini veya bu müdahalenin geçici süre ile ağın bölünmesine yol açabileceğini öne sürdü.
Araştırmacı bunların yanı sıra, zamana duyarlı bazı sözleşmelerde aksamaların yaşanmasının ve ekonomik faaliyetlerde bir engelleme yaşanabileceğinin de olası olduğunu söyledi. Fuller böyle bir senaryoda da alım-satımın, borsaların, atomik işlemlerin ve HTLC ödeme kanallarının etkilenmesinin kaçınılmaz olacağını dile getirdi.
BTC protokol mühendisi açığı fark ettiği gibi, çok detay vermeden sorunlu partilere iletti ve hata, National Institute of Standards and Technology’ye bağlı Common Vulnerabilities and Exposures veritabanına CVE-2018-17145 koduyla kaydedildi. Fuller’a göre INVDos açığına sahip orijinal Bitcoin yazılımını kullanan diğer tokenlar Litecoin ve Namecoin de bu hatadan etkilenebilirdi.
2 Yıl Sonra Yeniden Keşfedildi
2018 yılındaki bu olayın teknik detayları Bitcoin Core’un eski sürümünden faydalanan ve bu düzeltmeye erişememiş olan bir kripto para biriminde de aynı açığın yakalanması ile açığa çıktı. Başka bir Bitcoin protokol mühendisi olan Javed Khan, bu yaz Decred (DCR) ağı üzerinde aynı hatayı gözlemledi. Khan, hatayı ilgili mercilere bildirdi ve bu kez olay daha geniş kitlelerin haberdar olaması ile sonuçlandı.
Gelişmeler üzerine, Fuller ve Khan ortak bir makale yayınlayarak INVDos güvenlik açığı ile ilgili tüm ayrıntıları kamuoyu ile paylaştılar. Fuller ve Khan’ın yaptığı açıklamalara göre, henüz bu açıktan faydalanılarak ağlara bir saldırı gerçekleşmedi. Fakat bu detaylı makale sayesinde, Bitcoin’in eski sürümünden forklanan tüm kripto para birimleri gelecekte de bir sorun yaşamamak için; kendi sistemleri dahilinde hata kontrolü yapabilirler.