Odak: Kripto Hack'lerinin Kısa Tarihi

Yazar: Utku Güven

Merkeziyetsiz olarak kurulmuş sistemlerin merkezi sistemlerden daha güvenli olması gerekmiyor muydu? O zaman biz neden gün aşırı hacklenme haberleri duyuyoruz? Kripto varlıkları siber saldırılara karşı bu kadar kırılgan yapan şey ne? Yoksa kandırıldık mı? 

Takip edenler duymuştur. Solana’nın dijital cüzdan uygulamalarından birindeki açık sebebiyle 8,000 cüzdandaki yaklaşık 8 milyon Dolar kripto varlık ‘puf’ oldu. Solana, Ethereum benzeri merkeziyetsiz uygulamaların oluşturulabildiği ve daha merkezi olarak oluşturulmuş alt yapısından dolayı daha ölçeklenebilir ve hızlı olmasıyla öne çıkan bir blokzincir. Bu güncel hack mevzusuna konu olan dijital cüzdan uygulamasıysa, Solana ekosisteminde en çok kullanılan Phantom’du. 

Kripto varlık piyasasının şu andaki hacmini düşününce, 8 milyon Dolar çok da büyük bir hack vakası gibi görünmüyor. Tabi ateş düştüğü yeri yakar, bunu 2 Ağustos’ta cüzdanlarından yatırımları uçan insanlara sormak lazım. Ayrıca bunun merkezi olan bir borsaya yapılan bir siber saldırı ile değil de doğrudan güvenli farz ettiğimiz cüzdanlardan olmuş olması da daha çok soru işaretine sebep oldu. 

Kripto, hackerlar için neden ideal bir hedef? 

‘Hacking’ bilgisayarlar, akıllı telefonlar, tabletler ve bazı durumlarda tüm bir ağı hedef alan ve temelde ‘bilgi’ çalıp, bu bilgiyi belli bir amaçla, ama çoğunlukla maddi kazanç için kullanmak olarak düşünebiliriz. Bankaya giriş için kullandığımız kişisel bilgilerimizin ve şifrelerimizi düşünelim. Bu ‘bilgi’ bankadaki ‘varlıklarımıza’ ulaşmak için kullanılabilir. 

Kripto, blokzincir dünyasıysa hackerlara harika bir imkan sunuyor. Çünkü blokzincir üzerinde aslında hedefteki ‘bilgi’ çalınmak istenen ‘varlık’ın kendisi. Dolayısıyla bir borsada ya da protokolde açık bulan bir hackerin ulaştığı bilginin kendisi zaten ‘para’. 

Kriptonun yumuşak karnı 

Hackerların en çok saldırıda bulunduğu yerlere baktığımızda, blokzincir güvenliğindeki hiyerarşiyi de görebiliyoruz. Bu hiyerarşiyi şöyle düşünmek mümkün: Protokollerin kendisi, borsalar ve kişisel cüzdanlar. Protokol seviyesinde yani blokzincirin kendisinde ya da blokzincir üzerinde çalışan merkeziyetsiz uygulamalarda herhangi bir güvenlik açığı bulmak oldukça zor. Tabi imkansız değil. Kripto tarihinin en büyük hacklerinden biri olan DAO hack protokol seviyesinde gerçekleşmiş bir hack. Ama bu oldukça nadir gerçekleşen bir durum. 

Dolayısıyla hacklerin gözünü diktiği diğer iki hedef borsalar ve kişisel cüzdanlar. Kendisini bir ‘hacker’ olarak düşünün. Milyonlarca doların tek bir merkezi yerde bulunduğu borsalara saldırmak için mi zamanınızı harcarsanız, yoksa tek tek milyonlarca cüzdanda bulunan paranın peşine mi düşerseniz? Kim uğraşacak tek tek cüzdanları hacklemekle? Dolayısıyla borsalar hacker’ların birinci hedefi arasında yer alıyor. 

Bunun nedeni de çok basit. Herhangi bir kripto borsası, tasarımı gereği savunmasız olan merkezi bir yapıya sahip: “Single point of failure”. Alım satım işlemleri yapan merkezi bir yapı olan bir borsa bir veya birkaç büyük kripto cüzdanına sahip merkezi bir web tabanlı bir uygulama aslında, bu yüzden diğer tüm websiteleriyle aynı güvenlik sorunlarına sahip olabilir. Dolayısıyla en kolay hedefler olarak orada duruyorlar. 

Prensipte, daha merkeziyetsiz ve dağınık yapıları hacklemenin daha zor olduğu değişmiyor. Bu merkeziyetsiz teknoloji içinde içinde ne kadar merkezileşirsek ‘hack’lere de o kadar açık hale geliyoruz. 

Kripto Hack'lerinin Kısa Tarihi

Kişisel bir tarihten başlamak istiyorum. 2019’da bir takım ‘shitcoin’lerimi tutmak ve bir süre sonra satmak için kullandığım Yeni Zelanda merkezli kripto borsası Cryptopia’nın uğradığı siber saldırıda 30 milyon Dolar’ın çalınmasıyla birlikte borsa iflasını ilan etti ve ben kendimi Wellington İcra İflas Müdürlüğü’yle e-maillaşken buldum :)))

Aradan geçen dört senede borsanın kalan varlıklarına el koyan iflas müdürlüğü hala tasfiyeyi tamamlayamadı. Daha da trajikomik olan tarafı, borsa tavsiye sürecindeyken 2021 yılında tekrar hack’lendi. Sanırım oradaki ‘shitcoin’lerimi unutsam iyi olabilir. Cryptopia küçük bir distopyaya dönüştü diyebiliriz. 

30 milyon Dolar’lık bir hack hikayesinin kısa ama şaşalı kripto tarihi içinde çok da önemi olmadığı kesin. Bu büyüklükteki borsa hacklerini ya da dolandırıcılıklarını saysak kimsenin bakmak istemeyeceği uzun bir liste çıkar. 

O yüzden kripto tarihinde en büyük dokuz hack olayına bakalım: 

Mt Gox 

Kayıp: $470m 

Tarih : 2011-2014

Kripto tarihindeki en bilinen siber saldırılardan biri. Japonya merkezli Mt Gox borsası 2011 ve 2014 arasından gerçekleşen siber saldırılarda 470 milyon Dolar’ın kaybına ve bugün hala devam eden yasal bir sürecin başlamasına sebep oldu. 

Mt. Gox, o dönemde toplam bitcoin ticaretinin neredeyse yüzde 70'inin döndüğü bir yerdi. Dolayısıyla kaybın o zamana göre boyutu çok can yakıcıydı. Bir anda kapısına kilit vuran Mt. Gox, bitcoinleri kaybolan insanların dünyanın her yerinde şirketin Japonya’daki merkezinin kapısına kadar getirdi.  

Borsalara tüm paramızla güvenmemiz gerektiği acı bir ders olarak insanların kafasına kazıyan ilk olay olarak tarihe geçti.  

Bitfinex

Kayıp: $72m 

Tarih : Agustos 2016

O dönem hacim olarak dünyadaki en büyük sekizinci kripto borsası olan Bitfinex’in cüzdanlarına gerçekleşen saldırının tam olarak nasıl olduğu hali bilinmiyor. 72 milyon Dolar’ın kaybolmasına sebep olan hack, bugünün rakamlarıyla düşünürsek piyasadan 4 milyar Dolar’ın üzerinde değerin kaybolmasına eşit bir boyuttaydı. Mt. Gox’un aksine, Bitfinex bu işten batmadan çıkmayı başardı ve kayıp yaşanan müşterilerine sekiz ay içinde geri ödeme yapabildi.

The DAO Hack

Kayıp: $70m 

Tarih : Mayıs 2016 

DAO’lar, yani merkeziyetsiz otonom organizasyonlar, şu anda oldukça popüler. Ancak 2016’daki orijinal DAO hikayesi bir trafik kazasıyla başladı. The DAO, aslında yatırım kararlarını merkeziyetsiz ve otonom bir sisteme bırakıp, dünyanın her yerinde insanların katılabileceği bir fon yaratmak için kuruldu. Bunu bir akıllı sözleşme ile yapmayı planlayan the DAO’nun kodundaki açıktan yararlanan hacker, 17 Haziran 2016’da, yani the DAO’nun çalışmaya başlamasından bir ay sonra akıllı sözleşme biriken 3.6 milyon ETH’u boşalttı. 

Bu o dönem için o kadar büyük bir kayıptı ki, Ethereum tarihinde ilk kez yapılan işlemler geri alındı, ki prensipte bu blokzincirin geri döndürülemez ve merkeziyetsiz yapısına ters bir durum. Bugün ETC, yani Ethereum Classics olarak bilinen blokzincir, bu geri alma kararına karşı çıkanların orijinal ETH’dan ayrılarak devam ettirdiği zinciri temsil ediyor. 70 milyon dolarlık bu hack, Ethereum’un bölünmesine sebep oldu. Tarihi, büyük bir olaydı. 

Coincheck

Kayıp: $532m  

Tarih : Ocak 2018

Rakam olarak en büyük borsa hacklerinden biri. Yarım milyar Dolar’dan bahsediyoruz, dile kolay. Ocak 2018’i hatırlayanlar, kripto marketlerin kahreden bir düşüşe geçmeden önceki zirve yaptığı an olduğunu bilirler. Coincheck, Mt. Gox gibi Japonya merkezli bir borsaydı. Coincheck saldırısı, kendinden önceki hacklerdeki gibi Bitcoin, Ethereum ya da USDT gibi stabil coin’lere yapılan saldırılardan farklı olarak, borsanın kullanıcıların tuttuğu NEM (XEM olarak da bilinir) tokenlarına gerçekleşti. 26 Ocak 2018'de güvenlik açığına maruz kalan bir Coincheck cüzdanından yarım milyar Dolar’ın üzerinde NEM tokeni 11 farklı adrese aktarıldı.

Coincheck, NEM tokenlerini çevrimdışı soğuk cüzdanlarda veya NEM'in önerdiği gibi güvenli çoklu imzalı (multisig) cüzdanlarda güvenceye almak yerine, müşterilerinin NEM'lerinin çoğunu tek bir özel anahtarla korunan tek bir çevrimiçi sıcak cüzdanda depoluyordu. Hacker’lara “Gelin, alın, buyrun.” deseler daha iyiymiş. Hatalarını kabul eden Coincheck, daha sonra saldırıdan dolayı kayıp yaşayan 260,000 müşterisinin kayıplarını karşıladı. 

KuCoin

Kayıp: $210m  

Tarih : Eylül 2020 

Kucoin, Türkiye’deki kullanıcıların da bildiği ve yeni piyasaya sürülmüş ‘shitcoin’leri satmak için ideal bir merkezi kripto varlık borsa. Eylül 2020’de borsadan 1000 üzerinde bitcoin ve ıvır zıvır bir sürü diğer coin ve token çalındı. Bu hack’in tam olarak nasıl gerçekleştiği bilinmiyor, KuCoin’in yaptığı garip açıklamalar ve dışarıdan tam bir saldırı olamaması, cüzdanların özel anahtarlarını bir şekilde eline geçiren bir personelin işi olabileceğini düşündürüyor. “Inside Job!”. 

Kripto piyasalarının da şaha kalktığı bir dönem olmasının da avantajıyla hikaye mutlu sonla bitti ve KuCoin sonunda kayba uğrayan tüm müşterilerine paralarını geri vermeyi başardı. 

Poly Network

Kayıp: $611m  

Tarih : Ağustos 2021 

Büyüklük olarak şu ana kadarki en büyük hack olan Poly Network hack’inin hikayesinin sonu gayet güzel. Poly Network, farklı blokzincirler arasında bir köprü görevi görerek, bu farklı blokzincirlerdeki coin’leri ve tokenları merkezi bir yapı olmadan değiştirmesini sağlayan bir protokol. Bu zorlu görevi yerine getirmeye çalışırken oldukça yüksek miktarda rezerv tutan protokoldeki açığı farkeden bir hacker, 610 milyon Dolar değerindeki Ethereum, Binance, Neo, Tether ve diğer rezervleri kendi hesabına aktarmaya başlıyor. 

Açık fark edildikten sonra hacker bunun ‘küçük bir şaka’ olduğunu ve Poly Network kurucularını güvenlik konusunda uyarmak için yaptığını söyleyip, yarım milyar dolardan fazla kripto varlığı protokole iade ediyor. Sonrasında Poly Network, ödül olarak hackera 500 milyon dolar veriyor ve siber güvenlik ekiplerinde bir iş teklif ediyor. 

Bitmart

Kayıp: $196M  

Tarih : Kasım 2021 

2021 yılının en büyük kripto borsa hack’i. Çok detaya girmeye gerek yok çünkü görünen o ki, Bitmart borsasının sıcak cüzdanlarını bir şekilde içeriden birisi ya da içerden birisini kandıran bir hacker ele geçirdi ve 190 milyon Dolar’lık kripto varlıkla kayıplara karıştı. Çok basit bir güvenlik açığından ve büyük ihtimalle insan hatasından kaynaklanan bir kayıp. 

Wormhole Hack 

Kayıp: $325m 

Tarih : Şubat 2022

Wormhole, ‘köprü protokolleri’ndeki ilk büyük hack; 2022 yılının da en büyük hack’i. İlk önce kısaca ‘bridge’, ‘köprü’nün ne olduğunu basit Türkçe ile anlatalım. Farklı blokzincirler arasındaki varlıkları, her bir blokzincirde yaptıkları ayrı ayrı işlemlerle birbiri arasında transfer edilebilir hale getiren protokollere ‘köprü’ diyoruz. ‘Köprü’lerin en büyük sorunlarından biri, merkeziyetsiz olan blokzincirler için bu işlemleri yapsalar da, yapıları gereği kendileri de merkezi tek bir güvenlik açığı oluşturacak bir yapıya sahipler. Yani, hackerlar için ideal birer saldırı noktaları.

Wormhole Hack’i de, 2 Şubat 2022’de bir hacker’ın, Wormhole bridge protokolünün Ethereum-Solana arasındaki köprüsünü ‘kandırarak’, aslında Ethereum blokzincirinde var olmayan 120,000 adet ether’i Solana blokzincirine ‘geçirip’, aslında var olmayan etheri bir güzel satmasıyla gerçekleşti. 

Ronin Bridge Hack 

Kayıp: $625m 

Tarih : Mart 2022 

Yarım milyar Dolar’dan fazla kayba sebep olan bir diğer hack de, yine bir ‘köprü’ hack’i. Dünyanın en yaygın olarak oynan Play-To-Earn kripto oyunu Axie Infinity’in blokzinciri Ronin ile Ethereum blokzinciri arasında varlık ve değer aktarılmasını sağlayan ‘köprü’nün saldırıya uğramasıyla gerçekleşti. 

Merkezi olmayan bir köprü yapısına gerçekleşen bu saldırıda çoğunluğu Axie Infinity’nin oyununu oynayan insanları varlıkları çalınmış oldu. Bu işe bir rekor tablosu olarak bakarsak, 2021’de gerçekleşen 611 milyon dolarlık Poly Network hackini küçük bir farkla geçmiş oldu. Poly Network’teki kayıplar karşılanmıştı, ancak Ronin hackinde gidenler geri dönmeyecek gibi görünüyor.