Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Teknoloji

900 Bin Doların Çalınması Bitcoin Projesi Libbitcoin’i Zan Altında Bıraktı

“Milk Sad” olarak adlandırılan sorun temmuz ayı sonlarında veri güvenliği firması Distrust tarafından keşfedilmişti.

14 Ağustos 2023 10:00

Güncellenme: 14 Ağustos 2023 10:26

2011 yılında Bitcoin’in piyasaya sürülmesinden yalnızca iki yıl sonra, Amir Taakia isimli geliştirici ve açık kaynak kodlayıcılardan oluşan bir grup bitcoin ağına bağlanmanın en popüler yolu olan Bitcoin Core’a alternatif bir yol geliştirdi.


Libbitcoin olarak markalaşan bu alternatif yazılım, Bitcoin blok zinciriyle iletişim kurmak ve kriptografik anahtarlar oluşturmak gibi kritik işlevlere sahip kapsamlı bir kütüphaneye dönüştü.


Yazılım o kadar popüler oldu ki Bitcoin eğitimcisi Andreas Antonopoulos’un meşhur kitabı “Mastering Bitcoin”de bile yer aldı.


Ancak son birkaç ay içerisinde kullanıcı cüzdanlarından yaklaşık 900 bin doların kaybolmasıyla Libbitcoin’in o kadar da güvenli olmadığı ortaya çıktı.


Açığı fark eden veri güvenliği firması Distrust, temmuz ayında milksad.info sitesinde detaylı bir rapor yayımladı. 


Mayıs ayı ortalarında hacker’lar, Libbitcoin’in BX gezgini (explorer) tarafından oluşturulan bir dizi cüzdanda güvenlik açığı keşfetti. Böylece kullanıcılardan gizlice para çalmaya başladılar.


Rapora göre, cüzdan kurtarma için kullanılan seed phrase’deki ilk iki kelime “milk” ve “sad” olduğundan güvenlik açığı “Milk Sad” olarak adlandırıldı.


Mevcut fiyatlarla yaklaşık 870 bin dolara denk gelen 29,65 BTC saldırısı 12 Temmuz’da gerçekleşti ve en önemli saldırı namını kazandı. Distrust, birden fazla blok zincirinde toplamda en az 900 bin doların çalındığını belirtiyor.


Trezor ve Ledger gibi donanım cüzdanları hasar almamış gibi görünüyor ancak hâlâ risk altında olan bir dizi cüzdan bulunuyor. Distrust ekibinden Anton Livaja, 8 Ağustos tarihli bir tweet’inde, çalınan paranın kapsamının “henüz belirlenemediği”ni söylüyor.


Kripto yazılımları, cüzdanlarını kurtarmak isteyen kullanıcılara 12 ila 24 kelimeden oluşan seed phrase kombinasyonları sunuyor. Güvenlik, bu kelimelerin rastgele olmasıyla sağlanıyor.


Ancak BX’in oluşturduğu ifadelerin yeterince rastgele olmadığı ortaya çıkıyor. Raporda, “iyi bir oyun bilgisayarı kaba kuvvet yöntemini (brute-force approach) kullanabilir” ifadeleri yer alıyor ve bu da bir kullanıcının seed phrase için olası tüm kelime kombinasyonlarını “bir günden daha kısa bir sürede” tahmin edebileceği anlamına geliyor.


Raporda şöyle söyleniyor: “Bunu çevrimiçi banka hesabınızı uzun ve rastgele bir şifre oluşturan bir şifre yöneticisi ile güvence altına almak gibi düşünün. Ancak bu şifre yöneticisi kullanıcıların çoğu için aynı şifreleri oluşturuyor. Kötü niyetli kişiler de bunu fark ediyor ve erişim sağlayabildikleri tüm hesapların fonlarını boşaltıyor.”


Ethereum, Zcash, Solana ve Dogecoin de etkilendi

Milk Sad, Bitcoin ile sınırlı kalmadı. Ethereum, Zcash, Solana ve hatta Dogecoin, etkilenen sekiz blok zincirleri arasında yer alıyor. Çok zincirli (multi-chain) cüzdan uygulamaları olan Cake Wallet ve Trust Wallet’ta da güvenlik açıkları tespit ediliyor.


Genellikle seed phrase’ler, “bit”in 128, 192 ve 256 üssü kadar kelime kombinasyonlarına sahip kümelerden oluşur.


BX ise yalnızca 32 bit’lik bir alana sahiptir ve bu da farklı olacak şekilde yaklaşık 4,3 milyar kelime kombinasyonu sunabildiği anlamına gelir. Rapora göre, “Bu, göründüğü kadar yüksek bir sayı değil.”


BX’in baş geliştiricisi Eric Voskuil, seed phrase üreticisinin güvensiz olduğunu itiraf etti ancak durumun kötüye kullanım sonucu doğduğunu savunarak yazılımda herhangi bir hata olmadığı konusunda ısrar etti. Uygulamanın geliştiricileri güvenlik açığı konusunda uyardığını gösteren bir ekran görüntüsü de paylaştı.


Voskuil, “Bu, BX veya Libbitcoin’deki bir hata değil. Bu, ihtiyatsız cüzdan geliştirme” ifadelerini kullandı.


Bitcoin topluluğundan birkaç kriptograf ise aynı düşüncede olmadıklarını belirtti.


Bitcoin altyapı firması Blockstream’de kriptograf olan Tim Ruffig, şöyle söyledi: “Durum oldukça açık. Bunun senin hatan olduğunu kabullen.”


İlginizi çekebilir:



Daha Fazla Oku

    libbitcoinBitcoinbtcbxgüvenlik açığı

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.


Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Güne Bakış: Haftanın Liderleri WLD, GRT ve FIL Oldu

23 Şubat 2024 17:39

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk