2011 yılında Bitcoin’in piyasaya sürülmesinden yalnızca iki yıl sonra, Amir Taakia isimli geliştirici ve açık kaynak kodlayıcılardan oluşan bir grup bitcoin ağına bağlanmanın en popüler yolu olan Bitcoin Core’a alternatif bir yol geliştirdi.
Libbitcoin olarak markalaşan bu alternatif yazılım, Bitcoin blok zinciriyle iletişim kurmak ve kriptografik anahtarlar oluşturmak gibi kritik işlevlere sahip kapsamlı bir kütüphaneye dönüştü.
Yazılım o kadar popüler oldu ki Bitcoin eğitimcisi Andreas Antonopoulos’un meşhur kitabı “Mastering Bitcoin”de bile yer aldı.
Ancak son birkaç ay içerisinde kullanıcı cüzdanlarından yaklaşık 900 bin doların kaybolmasıyla Libbitcoin’in o kadar da güvenli olmadığı ortaya çıktı.
Açığı fark eden veri güvenliği firması Distrust, temmuz ayında milksad.info sitesinde detaylı bir rapor yayımladı.
Mayıs ayı ortalarında hacker’lar, Libbitcoin’in BX gezgini (explorer) tarafından oluşturulan bir dizi cüzdanda güvenlik açığı keşfetti. Böylece kullanıcılardan gizlice para çalmaya başladılar.
Rapora göre, cüzdan kurtarma için kullanılan seed phrase’deki ilk iki kelime “milk” ve “sad” olduğundan güvenlik açığı “Milk Sad” olarak adlandırıldı.
Mevcut fiyatlarla yaklaşık 870 bin dolara denk gelen 29,65 BTC saldırısı 12 Temmuz’da gerçekleşti ve en önemli saldırı namını kazandı. Distrust, birden fazla blok zincirinde toplamda en az 900 bin doların çalındığını belirtiyor.
Trezor ve Ledger gibi donanım cüzdanları hasar almamış gibi görünüyor ancak hâlâ risk altında olan bir dizi cüzdan bulunuyor. Distrust ekibinden Anton Livaja, 8 Ağustos tarihli bir tweet’inde, çalınan paranın kapsamının “henüz belirlenemediği”ni söylüyor.
Kripto yazılımları, cüzdanlarını kurtarmak isteyen kullanıcılara 12 ila 24 kelimeden oluşan seed phrase kombinasyonları sunuyor. Güvenlik, bu kelimelerin rastgele olmasıyla sağlanıyor.
Ancak BX’in oluşturduğu ifadelerin yeterince rastgele olmadığı ortaya çıkıyor. Raporda, “iyi bir oyun bilgisayarı kaba kuvvet yöntemini (brute-force approach) kullanabilir” ifadeleri yer alıyor ve bu da bir kullanıcının seed phrase için olası tüm kelime kombinasyonlarını “bir günden daha kısa bir sürede” tahmin edebileceği anlamına geliyor.
Raporda şöyle söyleniyor: “Bunu çevrimiçi banka hesabınızı uzun ve rastgele bir şifre oluşturan bir şifre yöneticisi ile güvence altına almak gibi düşünün. Ancak bu şifre yöneticisi kullanıcıların çoğu için aynı şifreleri oluşturuyor. Kötü niyetli kişiler de bunu fark ediyor ve erişim sağlayabildikleri tüm hesapların fonlarını boşaltıyor.”
Ethereum, Zcash, Solana ve Dogecoin de etkilendiMilk Sad, Bitcoin ile sınırlı kalmadı. Ethereum, Zcash, Solana ve hatta Dogecoin, etkilenen sekiz blok zincirleri arasında yer alıyor. Çok zincirli (multi-chain) cüzdan uygulamaları olan Cake Wallet ve Trust Wallet’ta da güvenlik açıkları tespit ediliyor.
Genellikle seed phrase’ler, “bit”in 128, 192 ve 256 üssü kadar kelime kombinasyonlarına sahip kümelerden oluşur.
BX ise yalnızca 32 bit’lik bir alana sahiptir ve bu da farklı olacak şekilde yaklaşık 4,3 milyar kelime kombinasyonu sunabildiği anlamına gelir. Rapora göre, “Bu, göründüğü kadar yüksek bir sayı değil.”
BX’in baş geliştiricisi Eric Voskuil, seed phrase üreticisinin güvensiz olduğunu itiraf etti ancak durumun kötüye kullanım sonucu doğduğunu savunarak yazılımda herhangi bir hata olmadığı konusunda ısrar etti. Uygulamanın geliştiricileri güvenlik açığı konusunda uyardığını gösteren bir ekran görüntüsü de paylaştı.
Voskuil, “Bu, BX veya Libbitcoin’deki bir hata değil. Bu, ihtiyatsız cüzdan geliştirme” ifadelerini kullandı.
Bitcoin topluluğundan birkaç kriptograf ise aynı düşüncede olmadıklarını belirtti.
Bitcoin altyapı firması Blockstream’de kriptograf olan Tim Ruffig, şöyle söyledi: “Durum oldukça açık. Bunun senin hatan olduğunu kabullen.”
Bu makale ilk olarak CoinDesk Türkiye üzerinde yayımlanmıştır
