Verge Blockchain’inde görülen %51 saldırısı kripto para protokollerinde zaman zaman karşılaşılan bir sorun. Ancak bu sorunun gelişmiş, büyük kripto paralarda meydana geldiğine neredeyse hiç şahit olmamıştık.
Bu saldırılarda tek veya bir grup madenci ağın kontrolünün yarısından fazlasını ele geçiriyor ve protokol kurallarını istediği gibi değiştirebiliyor. Verge’de bu durum iki kere yaşandı. Evet; aynı Blockchain üzerinde.
Gizliliğiyle ön plana çıkan Verge yetişkin sitesi Pornhub ile partnerlik anlaşması imzalamasıyla piyasada tüm şimşekleri üzerine çekmişti. Verge daha sonra iki kez %51 hack’ine uğramıştı. Saldırıyı yapanlar milyonlarca dolarlık XVG çalmıştı.
Nisan ayında gerçekleşen ilk saldırıda 250.000 XVG, mayıstaki ikinci saldırıda 1,7 milyon dolarlık XVG çalınmıştı. Araştırmacılar saldırının Verge kodundaki küçük değişikliklerden kaynaklandığını düşünüyor. Kripto para analiz sitesi The Abacus’ün CTO’su Daniel Goldman da saldırıları yakından izledi. Goldman saldırıları “safi dikkatsizliğe” dayandırıyor.
Bunu söylemeyi sevmiyorum, ama durumu özetleyecek olursam; saldırgan geliştiricilerden daha iyi durum tespiti yapmış. Geliştirici olsam onu avlamaya çalışırdım.
LTC yaratıcısı Charlie Lee ve Monero baş geliştiricisi Riccardo Spagni gibi bazı tecrübeli blockchain geliştiricileri, platformun yaptığı bazı ayarların bariz olumsuz tarafları olduğunu sık sık dile getiriyordu. Hazırda bekleyen “Verge Ordusu” tarafından topa tutulan bu geliştiriciler sonunda haklı çıktı.
Sorunun kaynağı
Hack’in iki büyük temel sebebi bulunuyor. Bunların birincisi, BTC’de 10 dakika olan işlemlerin (blokta doğrulanmadan önce) geçerlilik süresinin (zaman penceresi) Verge geliştiricileri tarafından 2 saate çıkarılmış olması. Node’lar tüm dünyanın her bir yanına dağıldığı için Blockchain’de oluşan bilgi asimetrisi sebebiyle saldırganlar bloklara bağlı zaman damgalarıyla “oynama” fırsatı yakaladı.
Diğer sebep ise Verge’ün zorluk algoritması. Algoritmaya göre madenciler her iki saatte bir blok bulabiliyor. BTC’de bu sürenin 2 hafta olduğu düşünüldüğünde Verge algoritmasının oldukça hızlı olduğu savunulabilir.
Bu iki büyük sorun birleşince, Goldman’ın sözleriyle, “protokolün madencilik ayar algoritmasında çok büyük karışıklıklar yaşandı.”
Bir diğer deyişle, saldırgan(lar) zekasını kullanarak sahte zaman damgalarıyla blok kazdı, Verge’ün zorluk derecesini düşürdü ve daha fazla XVG kazar hale geldi. İlk saldırıda geliştiriciler yaptıkları yamayla olaya müdahale etmeye çalışsa da ikinci saldırıda saldırgan başka bir açık buldu.
Devam eden saldırı
Goldman Verge’de sorunların bitmediğini ve bir saldırganın şu sıralar hack girişiminde olduğunu belirtiyor. Ancak saldırgan henüz ağı ele geçirebilmiş değil.
Kullanıcılardan token çalınmaması büyük bir şans olsa da madencilerin bir Blockchain’in kurallarıyla oynayarak bu kadar kısa süre içinde para sızdırabilmesi büyük bir skandal. Verge geliştiricileri Reddit’e kodu geliştirmek ve olası saldırıların önüne geçmek için aktif bir şekilde çalıştıklarını yazdı.
Ancak Goldman’a göre bir başka sorun mevcut: Verge’in kod tabanı gizli olduğu için blockchain uzmanları, Verge ekibinin zayıf noktaları kolayca fark etmesini sağlayacak emsal değerlendirmesi yapamıyor.
Verge’ün geleceği
Verge topluluğu her şeye rağmen geliştirici ekibine destek veriyor ve ilerisi için projeye güveniyor. CryptoRekt isimli Verge geliştiricisi de saldırının bir ders niteliğinde olduğunu ve bundan hareketle “ortaya daha büyük ve iyi bir proje koyacaklarını” belirtiyor.
Yine de Verge’ün itibarının zedelendiği inkar edilemez. Özellikle Verge’ün gizliliğiyle ön plana çıkan bir kripto para olduğu düşünüldüğünde.
Bitgo mühendisi Mark Erhardt Verge olayının piyasada sorumluluk ve farkındalık duygusunu artıracağını ve kullanıcıların altcoin projelerini daha kapsamlı bir değerlendirmeye tabii tutacağını düşünüyor.
Saldırı almamış olması bir sistemin güvenli olduğu anlamına gelmez. Altcoin projelerinin çoğunun güvenli bir altyapıya sahip olduğu gibi bir algı var. Ancak sadece ve sadece şu ana kadar kimse sistematik hataları ve zayıf noktaları istismar etmeye kalkışmadığı için böyle düşünülüyor.
Öte yandan %51 saldırısı yapmanın zor olduğu düşünülse de Liquidity Network’ten Arthur Gervais yeni verilerin bu düşünceyi çürüttüğünü öne sürüyor.
Gervais savına kanıt olarak 51crypto uygulamasındaki verileri gösteriyor. Bu verilere göre %51 saldırıları oldukça karlı ve Blockchain ne kadar küçük olursa kuralların esnetilmesi ve ağın ele geçirilmesi kolaylaşıyor. Bu yüzden proje geliştiricilerin her zamankinden çok dikkatli olması gerekiyor. Gervais son olarak, “ekonomik çıkar neredeyse saldırganlar oradadır” hatırlatmasını yapıyor.
