Kripto ekosisteminde güvenlik odağında önemli bir gelişme yaşandı. Kuantum güvenliği alanında faaliyet gösteren Project Eleven, Bitcoin ve diğer büyük dijital varlıkların dayandığı şifreleme yönteminin basitleştirilmiş bir örneğini kuantum bilgisayar kullanarak çözmeyi başardıklarını açıkladı. Bu denemede, 15 bit büyüklüğündeki bir eliptik eğri şifreleme anahtarı kırıldı. Normal şartlarda Bitcoin, çok daha gelişmiş ve güçlü olan 256 bitlik secp256k1 algoritmasını temel alıyor. Yapılan deneme kripto ekosistemini doğrudan riske atmıyor; ancak bu alanın pratikte kırılabileceğini açıkça gösteriyor.
Project Eleven’ın deneyi: Sembolik bir adım mı?
Project Eleven, ödül olarak bir Bitcoin sunduğu “Q-Day Prize” yarışması çerçevesinde bağımsız araştırmacı Giancarlo Lelli’nin elde ettiği sonucun, kamuya açık bulut tabanlı kuantum donanımında gerçekleştirildiğini belirtti. Alex Pruden yönetimindeki firma, bu saldırının şimdiye kadarki en büyük halka açık kuantum eliptik eğri saldırısı olduğunun altını çizdi. Önceki yıllarda sadece 6 bitin kırılabildiği benzer denemelere kıyasla, bu başarı 512 kat büyüklüğünde bir sıçrama olarak tanımlandı.
Pruden, saldırı için gereken kaynakların hızla azaldığına ve bulut erişimi ile bağımsız araştırmacıların da bu tür denemeleri gerçekleştirebildiğine dikkat çekti.
Bitcoin sisteminin şifrelemesi doğrudan kırılmasa da, bu deney kuantum saldırılarının beyaz tahtalardan çıkıp gerçek donanımda yapılabildiğini gösteriyor.
Bu gelişme finansal güvenliği derinden etkilemiyor; ancak ilerleyen yıllar için dijital varlıkların şifrelenmesinde yeni risklerin ortaya çıkabileceği endişesini güçlendiriyor.
Temel risk: Dijital imzalar ve kamuya açık anahtarlar
Bitcoin’de ve birçok blokzincir ağında asıl kriptografik risk madencilikten ziyade imza sistemlerinden kaynaklanıyor. Kullanıcıların sahiplikleri dijital imzalarla kanıtlanıyor; bir saldırgan, kamuya açık anahtardan özel anahtarı elde ederse, söz konusu bakiyeyi harcayabilir. Klasik bilgisayarlar için bu neredeyse imkansızken, yeterince güçlü bir kuantum bilgisayar ve Shor algoritması bu engeli teori düzeyinde kaldırabiliyor.
Güvenlik araştırmaları, henüz kullanılmayan yani kamuya açık anahtarı zincirde görünmeyen Bitcoin adreslerinin daha korunaklı olduğunu belirtiyor. Buna karşılık, eski adresler ya da birden fazla kez kullanılan adresler ise gelecekteki kuantum riskleri açısından daha savunmasız bir konumda.
Coinbase Quantum Advisory Council’ın raporuna göre, kamuya açık anahtarı ifşa edilmiş adreslerde yaklaşık 6,9 milyon BTC bulunuyor. Bitcoin’in 77.500 dolar civarındaki fiyatıyla bu adreslerdeki toplam değer 530 milyar doları aşıyor.
Buradaki rakamlar, ciddi bir güvenlik açığı oluşabileceğinin haritası olarak okunmalı; şimdilik acil bir tehdit görülmese de riskin yayılımı eşit dağılmıyor.
Uzmanlara göre, mevcut kuantum bilgisayarlar Bitcoin’i doğrudan tehlikeye sokacak kadar güçlü değil; ancak ağın hangi noktalarından risk doğabileceği artık ölçülebilir ve tartışılabilir durumda.
Google, NIST ve sektörün yaklaşımı
Project Eleven’ın duyurusu, Google’ın Quantum AI ekibinden gelen yeni uyarıların hemen ardından geldi. Mart ayında yayımlanan makalede, gelecekteki kuantum bilgisayarların Bitcoin tipi 256 bit eliptik eğri şifrelemeyi kırmak için eskisinden çok daha az kaynağa ihtiyaç duyabileceğinin altı çizildi. Google, 500 bin fiziksel kübitlik bir donanımla böyle bir saldırının teorik olarak mümkün olabileceğini öngördü. Bu, bugünkü donanımın oldukça ötesinde olsa da, konunun artık çok daha somut konuşulmasına neden oldu.
Sektörde dikkat çekici bir diğer gelişme ise ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) ilk post-kuantum şifreleme standartlarını 2024 yılında tamamlamasıydı. Geliştiriciler ve büyük kurumlar, yıllar sürecek bu geçiş dönemini planlamaya başladı.
Teknik olarak, Bitcoin ve benzeri sistemlerin kuantuma dayanıklı hale getirilmesi için pek çok yeni imza algoritması ve adres formatı halihazırda araştırılıyor. Ancak bu geçişin en karmaşık tarafı, ağda gereken toplu kararı sağlamak. Bitcoin’in muhafazakar güncelleme kültürü, hızlı ama riskli değişiklikleri engellerken; aynı zamanda gerekli güvenlik güncellemelerini de zamana yayabiliyor.
Asıl zorluk, hareketsiz ve kayıp coin’lerde. Gelecekte tüm ağ oyuncularının bir noktada adreslerini veya anahtarlarını güvenli biçime geçirmesi gerekecek mi, protokole ilave önlemler mi getirilecek; bu sorular henüz net yanıt bulmadı. Ethereum gibi zincirlerde ise daha hızlı karar alabilen bir yönetişim ekosistemi mevcut olsa da, teknik açıdan benzer riskler geçerliliğini koruyor.
