Pentagon Uyardı: Bitcoin Ağında Büyük Güvenlik Açıkları Var
Pentagon, yakın zamanda yaptığı araştırmada Bitcoin (BTC) ve kripto paralar üzerinde giderek artan güvenlik açıklarından bahsetti.
Amerika Birleşik Devletleri Savunma Bakanlığı’nın 21 haziranda yayınlanan raporundaki başlıklar dikkat çekti. “Blockchainler merkeziyetsiz mi? Bir katılımcı alt grubu tüm sistem üzerinde aşırı, merkezi bir kontrol sağlayabilir.”
Bitcoin (BTC) ve Ethereum (ETH) üzerine odaklanan çalışma, Amerikan güvenlik araştırma firması Trail of Bits tarafından Pentagon’un Savunma İleri Araştırma Projeleri Ajansı (DARPA) kontrolünde gerçekleştirildi.
Rapora göre:
Bir blok zincirini bozmaya (manipüle etmeye) yetecek öğe sayısı nispeten düşüktür: Bitcoin için dört, Ethereum için iki ve çoğu PoS ağı için bir düzineden az.
Bitcoin trafiğinin %60’ı sadece 3 ISS’den (İnternet servis sağlayıcısı) geçiyor
Raporda, internet servis sağlayıcılarını kast ederek “Bitcoin trafiğinin %60’ının yalnızca üç ISS’den geçtiğini” söylendi ve “Bitcoin düğümlerinin (Node) büyük çoğunluğu madenciliğe katılmıyor gibi görünüyor ve düğüm operatörleri sahtekârlık için açık bir ceza ile karşı karşıya kalmıyor.” ifadesine yer verildi.
Analistlerin uyardığı gibi “Yeni bir düğüm konuşlandırmak için yalnızca bir ucuz bulut sunucusu örneği gerekir -özel madencilik donanımı gerekmez.” Bu durum blokzincirlerini Sybil saldırısı olarak bilinen ciddi ağ tehlikesiyle yüz yüze getiriyor. Sybil saldırısını kısaca açıklamak gerekirse, “bir kişinin birden fazla hesap, node ya da bilgisayar aracılığı ile bir ağı ele geçirmeye çalışması sonucu oluşan bir güvenlik tehdidi” olarak aktarabiliriz. Bu konuda detaylı bilgi için burayı ziyaret edebilirsiniz.
Pentegon’un raporu şu şekilde devam ediyor:
“Bir blok zincirinin güvenliği, yazılımın güvenliğine ve zincir dışı yönetişim veya konsensüs mekanizmalarının protokollerine bağlıdır.”
Dikkatsiz Madencilik Havuzları
Rapor ayrıca, analistlerinin test ettiği tüm madencilik havuzlarının “ya tüm hesaplar için sabit kodlanmış bir parola atadığını ya da yalnızca kimlik doğrulama sırasında sağlanan parolayı doğrulamadığını” keşfetti. Raporda örnek olarak, küresel kripto para madenciliği havuzu ViaBTC‘nin tüm hesaplarına ‘123’ şifresini atadığı uygulamayı gösterdi. Başka bir madencilik firması olan Poolin, “kimlik doğrulama bilgilerini hiç doğrulamıyor gibi görünüyor” derken Slushpool “kullanıcılarına açıkça şifre alanını görmezden gelmelerini söylüyor.” Mevcut verilere göre, bu üç madencilik havuzu, Bitcoin hash gücünün yaklaşık %25’ini oluşturuyor.
Siber güvenlik uzmanları, yakın zamanda gerçekleşen ve bir kullanıcının Metamask hesabından 650 bin dolarlık kripto para ile beraber onlarca NFT’nin çalındığı türden olaylara yol açabilecek potansiyel kripto zayıflıkları konusunda uyardı.
