Nisan ayının son haftası ortaya çıkan bilgiler, Ethereum Blockchain ağındaki cüzdanların özel anahtarları tahmin edilerek, yaklaşık 50 milyon dolar değerinde Ether çalındığını gösteriyor. Peki, bu nasıl gerçekleşti?
Blockchain ağları içinde en popüler olanlar şüphesiz ki Bitcoin ve Ethereum. Bu ağları güçlü kılan pek çok özellikten birisi ise ağlar üzerinde oluşturulan cüzdanların parolası olarak ifade edebileceğimiz Özel Anahtarlar (Private Key).
Matematiksel olarak özel anahtarları geriye dönük olarak hesaplamak mümkün değil. Bunun için 2256 ihtimal içinden bir tane doğru olanı bulmak gerekiyor. Şu anda elimizdeki bilgisayar sistemleri ile bu teorik olarak mümkün ancak pratik olarak imkansız kabul ediliyor. Ancak bu imkansız olarak görülen yöntemin bazı Ethereum cüzdanlarının özel anahtarlarını bulmak için kullanıldığı ortaya çıktı.
ABD merkezli bağımsız bir güvenlik danışmanlık organizasyonu ISE tarafından 23 Nisan’da yayınlanan bir makalede bu yöntemin nasıl açığa çıktığı ve daha da önemlisi bir saldırganın aynı yöntemi kullanarak bugüne dek yaklaşık 54 milyon dolar değerindeki 38.000 Ether’i kendi cüzdanına çektiğinin anlaşılması oldu.
Yöntem 256 Bitlik bir anahtarın sadece 32 bitlik bir kısmını almak ve buradan yola çıkarak gerçekleştirilen bir tahmin yöntemi ile bu alana karşılık gelmesi muhtemel cüzdan adreslerinden işlem yapılıp yapılmadığını kontrol etmekten ibaret bu yöntemle 8 gruba bölünen tahmini özel anahtarlar için bir kesişim kümesi yaratılarak özel anahtarları tahmin etmek kolaylaşıyor. Bu tahmini yapmak için de bulut servisleri kullanılmış.
ISE yaptığı araştırmada her özel anahtarın tahmin edilebilir olmadığını sadece basit yapılarda olanların bulunabildiğine dikkat çekiyor. Yine kendileri tarafından oluşturulan 0x0000000000000000000000000000000000000000000000000a00000000000000 özel anahtarına ait cüzdana 1 Ether yüklemişler. Bu cüzdandan kısa bir süre sonra belirli bir miktar Ether2in farklı bir cüzdana transfer edildiğini keşfetmişler. Bu işlemin hedefindeki cüzdanı incelediklerinde ise süreç kendilerini 54 milyon dolar değerindeki Ether’in benzer şekilde farklı cüzdanlardan çekildiği sonucuna ulaştırmış.
Bu süreç her özel anahtarın zayıf olduğu anlamına gelmiyor ancak bazı cüzdan uygulamalarının basit kodlama yapıları veya kullanıcı dikkatsizlikleri nedeniyle bu tarz anahtarların ortaya çıktığı düşünülüyor.
Aşağıda ISE’nin konuyla alakalı bir açıklama videosu bulunuyor. Eğer daha detaylı bilgi isterseniz buradaki makaleyi okuyabilirsiniz