olarak kripto para birimi endüstrisi Genişlemeye devam eden ve bilgisayar korsanları için giderek daha çekici bir hedef haline gelen Pentagon, beraberindeki bir raporda ayrıntılı olarak açıklanan bazı güvenlik açıklarını keşfeden bir çalışma başlattı.
Nitekim 21 Haziran’da yayımlanan “Blockchainler Merkezi Olmayan mı? Dağıtılmış Defterlerde İstenmeyen Merkeziyetler", "bir grup katılımcının tüm sistem üzerinde aşırı, merkezi kontrol elde edebildiğini" keşfetti.
Bitcoin’e odaklanan çalışma (BTC) ve Eterum (ETH), Pentagon'un Savunma İleri Araştırma Projeleri Ajansı'nın (DARPA) yönetimi altında güvenlik araştırma şirketi Trail of Bits tarafından gerçekleştirildi.
Rapora göre:
"Bir blockchain'i bozmaya yetecek varlık sayısı nispeten düşük: Bitcoin için dört, Ethereum için iki ve çoğu PoS ağı için bir düzineden az."
Bitcoin trafiğinin %60'ı yalnızca 3 İSS üzerinden geçiyor
Ayrıca raporda, internet servis sağlayıcılarına atıfta bulunarak "tüm Bitcoin trafiğinin %60'ının yalnızca üç İSS'den geçtiği" belirtildi. Bunun da ötesinde, "Bitcoin düğümlerinin büyük çoğunluğu madenciliğe katılmıyor gibi görünüyor ve düğüm operatörleri sahtekârlık nedeniyle açık bir cezayla karşı karşıya kalmıyor."
Analistlerin uyardığı gibi, "yeni bir düğümün konuşlandırılması yalnızca tek bir ucuz bulut sunucusu örneğini gerektirir; özel bir madencilik donanımına gerek yoktur." Bu, Sybil saldırısı olarak adlandırılan bir olayda, bir blockchain'in fikir birliği ağını tek bir tarafça kontrol edilen yeni, kötü niyetli düğümlerle doldurma olasılığına izin verir.
Diğer sorunlar arasında güncel olmayan ve şifrelenmemiş protokoller ve yazılımlar yer alır ve bunların tümü ağı saldırılara açık hale getirir. Raporun açıkladığı gibi:
“Bir blok zincirinin güvenliği, yazılımın güvenliğine ve zincir dışı yönetişim veya fikir birliği mekanizmalarının protokollerine bağlıdır.”
Dikkatsiz madencilik havuzları
Rapor ayrıca, analistlerinin test ettiği tüm madencilik havuzlarının "ya tüm hesaplar için sabit kodlu bir parola atadığını ya da yalnızca kimlik doğrulama sırasında sağlanan parolayı doğrulamadığını" ortaya çıkardı.
Örnek olarak rapor, küresel kripto para madenciliği havuzu ViaBTC'nin tüm hesaplarına görünüşte '123' şifresini atama uygulamasını kullandı. Başka bir madencilik firması olan Poolin "kimlik doğrulama bilgilerini hiç doğrulamıyor gibi görünüyor", oysa Slushpool "kullanıcılarına açıkça şifre alanını göz ardı etmeleri talimatını veriyor."
Mevcut verilere göre bu üç madencilik havuzu Bitcoin hash oranının yaklaşık %25’ini oluşturuyor.
Siber güvenlik Araştırmacılar genellikle aşağıdaki gibi olaylara yol açabilecek kriptoyla ilgili potansiyel zayıflıklar konusunda uyarıyorlar: yüzgeç nisan ayının ortalarında rapor edilen Saldırgan bir kişinin tüm koleksiyonunu çalmayı başardı kriptolar ve değiştirilemez tokenlar (NFT'ler) MetaMask'larından 650,000 $'ın üzerinde değere sahip kripto cüzdan.
Kaynak: https://finbold.com/pentagon-paper-warns-of-major-vulneraibility-in-the-bitcoin-blockchain/