Litecoin ağı, haftanın son günlerinde üst üste yaşanan bir dizi saldırıyla yaklaşık 32 dakikalık işlem geçmişini geri almak zorunda kaldı. Bunun nedeni, ağda yer alan Mimblewimble Extension Block (MWEB) protokolündeki bir açığın kötüye kullanılması oldu. MWEB protokolü, Litecoin’e ekstra gizlilik ve ölçeklenebilirlik sağlayan bir katman olarak 2022’de devreye girmişti. Olayda, saldırganlar bu protokoldeki bir hatadan yararlanarak bazı madencilik havuzlarını hedef aldı ve ağın bir bölümünü geçici olarak yeni bir zincir üzerinde çalıştırmayı başardı.
Gizli yamanın yarattığı boşluk
Saldırı ile ilgili olarak Litecoin Foundation’dan yapılan açıklamada, Pazar günü Asya saatlerinde tespit edilen açığın tamamen yamandığı ve ağın normal işleyişine döndüğü ifade edildi. Ancak güvenlik araştırmacıları, olayın arka planında daha karmaşık bir tablo bulunduğuna dikkat çekiyor.
Siber güvenlik alanında çalışan ve kripto saldırılarına acil müdahale sunan SEAL911 grubundan bbsz isimli araştırmacı, Litecoin’in GitHub’daki kod kaydını inceleyerek saldırı sürecini detaylandırdı. Konsensüs açığının aslında 19-26 Mart tarihleri arasında özel olarak kapatıldığı, yani güvenlik düzeltmesinin saldırıdan yaklaşık bir ay önce yapıldığı ortaya çıktı. Ancak kritik yamanın genel olarak duyurulmadığı ve tüm madencilik havuzlarına zorunlu hâle getirilmediği görülüyor.
Bu durum, bazı madencilerin güncellenmiş sürümü kullanırken diğerlerinin savunmasız eski kodda kalmasına neden oldu. Saldırganlar ise kimlerin savunmasız kaldığını tespit edip bunu fırsata çevirdi.
Saldırının teknik boyutu ve zincir reorganizasyonu
Açık sayesinde oluşan iki temel saldırı vektörü dikkat çekti. İlki, hatalı MWEB işlemlerinin savunmasız düğümler üzerinde kabul edilmesiydi. İkincisi ise hizmet aksatma saldırısı (DoS) ile bazı güncellenmiş madenci düğümlerinin geçici olarak ağdan dışlanmasıydı. Böylece zincirin daha fazla kısmı, güncellenmemiş kod çalıştıran madencilerin oluşturduğu hatalı zincire dahil edildi.
Blok zincirindeki veriler, saldırganın hamleden yaklaşık 38 saat önce Binance borsası üzerinden bir cüzdana önceden fon gönderdiğini ve bu adresin LTC’yi merkeziyetsiz bir platformda ETH’ye çevirmek için hazırlandığını gösterdi. Saldırıdan sonra, ağ otomatik olarak 13 bloğu yeniden organize etti ve doğru zincire geri döndü. Bu süreçte, yeterli işlem gücüne sahip güncel kod kullanan madencilik havuzları ağı eski haline getirebildi. Ancak savunmasız zincir kolu yaklaşık yarım saat boyunca geçerli sayıldı.
“Ağ, saldırının ardından otomatik olarak 13 blok geri alıp en güncel güvenli zincire geçti fakat bu arada savunmasız zincirde 32 dakika boyunca işlem yapılabildi.”
Zincir güncellenmesi ve sektörel zorluklar
Eski tip proof-of-work ağları olan Litecoin ve Bitcoin, yazılım güncellemelerinde merkezi bir dağıtım mekanizmasına sahip değil. Madencilik havuzlarının her biri yeni yama çıktığında bunu kendi inisiyatifiyle uyguluyor, bu da acil güvenlik yamalarında potansiyel olarak tehlikeli bir gecikme penceresi yaratıyor. Buna karşılık, daha yeni ve merkezi doğrulayıcı yapısına sahip zincirlerde, güncellemeler grup sohbetleri ve toplu koordinasyonla hızlıca tüm ağa yayılabiliyor.
Litecoin Foundation, saldırının teknik detaylarına ve GitHub’daki yama zaman çizelgesine ilişkin Pazar sabahı itibarıyla herhangi bir kamuoyu açıklaması yapmadı. Saldırı sırasında zincirden ne kadar Litecoin çıkarıldığı ve bu fonların ne kadarının geri döndürülebildiği konusunda henüz netleşen bir bilgi bulunmuyor.
