2011 yılında Bitcoin’in piyasaya sürülmesinden sırf iki yıl sonra, Amir Taakia isimli geliştirici ve açık kaynak kodlayıcılardan oluşan bir küme bitcoin ağına bağlanmanın en tanınan yolu olan Bitcoin Core’a alternatif bir yol geliştirdi.
Libbitcoin olarak markalaşan bu alternatif yazılım, Bitcoin blok zinciriyle irtibat kurmak ve kriptografik anahtarlar oluşturmak üzere kritik fonksiyonlara sahip kapsamlı bir kütüphaneye dönüştü.
Yazılım o kadar tanınan oldu ki Bitcoin eğitimcisi Andreas Antonopoulos’un meşhur kitabı “Mastering Bitcoin”de bile yer aldı.
Ancak son birkaç ay içerisinde kullanıcı cüzdanlarından yaklaşık 900 bin doların kaybolmasıyla Libbitcoin’in o kadar da inançlı olmadığı ortaya çıktı.
Açığı fark eden data güvenliği firması Distrust, temmuz ayında milksad.info sitesinde ayrıntılı bir rapor yayımladı.
Mayıs ayı ortalarında hacker’lar, Libbitcoin’in BX gezgini (explorer) tarafından oluşturulan bir dizi cüzdanda güvenlik açığı keşfetti. Böylelikle kullanıcılardan gizlice para çalmaya başladılar.
Rapora nazaran, cüzdan kurtarma için kullanılan seed phrase’deki birinci iki söz “milk” ve “sad” olduğundan güvenlik açığı “Milk Sad” olarak isimlendirildi.
Mevcut fiyatlarla yaklaşık 870 bin dolara denk gelen 29,65 BTC saldırısı 12 Temmuz’da gerçekleşti ve en kıymetli taarruz namını kazandı. Distrust, birden fazla blok zincirinde toplamda en az 900 bin doların çalındığını belirtiyor.
Trezor ve Ledger üzere donanım cüzdanları hasar almamış üzere görünüyor lakin hâlâ risk altında olan bir dizi cüzdan bulunuyor. Distrust grubundan Anton Livaja, 8 Ağustos tarihli bir tweet’inde, çalınan paranın kapsamının “henüz belirlenemediği”ni söylüyor.
Kripto yazılımları, cüzdanlarını kurtarmak isteyen kullanıcılara 12 ila 24 sözden oluşan seed phrase kombinasyonları sunuyor. Güvenlik, bu sözlerin rastgele olmasıyla sağlanıyor.
Ancak BX’in oluşturduğu tabirlerin gereğince rastgele olmadığı ortaya çıkıyor. Raporda, “iyi bir oyun bilgisayarı kaba kuvvet sistemini (brute-force approach) kullanabilir” tabirleri yer alıyor ve bu da bir kullanıcının seed phrase için muhtemel tüm söz kombinasyonlarını “bir günden daha kısa bir sürede” kestirim edebileceği manasına geliyor.
Raporda şöyle söyleniyor: “Bunu çevrimiçi banka hesabınızı uzun ve rastgele bir şifre oluşturan bir şifre yöneticisi ile garanti altına almak üzere düşünün. Lakin bu şifre yöneticisi kullanıcıların birçok için birebir şifreleri oluşturuyor. Makus niyetli bireyler de bunu fark ediyor ve erişim sağlayabildikleri tüm hesapların fonlarını boşaltıyor.”
Ethereum, Zcash, Solana ve Dogecoin de etkilendiMilk Sad, Bitcoin ile hudutlu kalmadı. Ethereum, Zcash, Solana ve hatta Dogecoin, etkilenen sekiz blok zincirleri ortasında yer alıyor. Çok zincirli (multi-chain) cüzdan uygulamaları olan Cake Wallet ve Trust Wallet’ta da güvenlik açıkları tespit ediliyor.
Genellikle seed phrase’ler, “bit”in 128, 192 ve 256 üssü kadar söz kombinasyonlarına sahip kümelerden oluşur.
BX ise sadece 32 bit’lik bir alana sahiptir ve bu da farklı olacak biçimde yaklaşık 4,3 milyar söz kombinasyonu sunabildiği manasına gelir. Rapora nazaran, “Bu, göründüğü kadar yüksek bir sayı değil.”
BX’in baş geliştiricisi Eric Voskuil, seed phrase üreticisinin inançsız olduğunu itiraf etti fakat durumun berbata kullanım sonucu doğduğunu savunarak yazılımda rastgele bir yanılgı olmadığı konusunda ısrar etti. Uygulamanın geliştiricileri güvenlik açığı konusunda uyardığını gösteren bir ekran manzarası de paylaştı.
Voskuil, “Bu, BX yahut Libbitcoin’deki bir kusur değil. Bu, ihtiyatsız cüzdan geliştirme” tabirlerini kullandı.
Bitcoin topluluğundan birkaç kriptograf ise tıpkı niyette olmadıklarını belirtti.
Bitcoin altyapı firması Blockstream’de kriptograf olan Tim Ruffig, şöyle söyledi: “Durum epeyce açık. Bunun senin yanılgın olduğunu kabullen.”
Bu makale birinci olarak CoinDesk Türkiye üzerinde yayımlanmıştır