Kripto para ve blockchain odaklı siber güvenlik şirketi Unciphered, eski kripto para cüzdanlarını etkileyen bir güvenlik açığını 20 ay boyunca kamuoyundan gizledi.
Unciphered, 2011 ve 2015 yılları arasında üretilen tarayıcı tabanlı cüzdanları etkileyen on yıllık bir güvenlik açığını tespit etti. Söz konusu güvenlik açığı, siber saldırganların Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) ve Zcash (ZEC) dahil olmak üzere çeşitli ağlardaki cüzdanlardan 2,1 milyar dolarlık varlık çalmasına yol açabilir.
Milyar Dolarlık Güvenlik Açığı
Unciphered tarafından kısa bir süre önce Wall Street Journal’a verilen röportajda hatanın nasıl keşfedildiği açıklandı. Unciphered ekibi, söz konusu güvenlik açığını, erken dönem Bitcoin yatırımcılarından birinin çalınan 600.000 dolarlık BTC’lerini kurtarmak için yürütülen başarısız bir girişim sırasında hatanın tespit edildiğini belirtti.
Girişimci Nick Sullivan 2014 yılında Blockchain.info (yeni adıyla Blockchain.com) üzerinden bir BTC cüzdanı oluşturdu. Daha sonra oluşturduğu cüzdanın özel anahtarını kaydetmeden bilgisayarını sıfırladı. Böylelikle Nick Sullivan cüzdanının içerisindeki BTC’lere erişimini kaybetti.
Nick Sullivan bu gelişmenin üzerine Unciphered’la iletişime geçti ve fonlarını kurtarmak için yardım istedi. Unciphered 2022 yılında Sullivan’ın BTC’lerini kurtarmak için harekete geçti. Bu sırada Unciphered, Blockchain.info’nun rastgele cüzdan anahtarları oluşturma kodun BitcoinJS’nin tüm cüzdanları için kodları yeterince rastgele şekilde oluşturmadığını farketti.
Unciphered kurucu ortağı Eric Michaud konuyla ilgili olarak yaptığı açıklamada BitcoinJS kodunun 2014 yılının Mart ayına kadar oldukça korkunç bir şekilde çalıştığını ve o döneme kadar Blockchain.info platformunu kullanan herkesin ciddi bir risk altında olduğunu ifade etti.
Bir başka cüzdan oluşturma platformu olan Dogecoin.info da BitcoinJS kullanıyordu. Dolayısıyla birçok eski Dogecoin yatırımcısının aynı şekilde risk altında olduğu söylenebilir.
Unciphered’a göre bu Blockchain.info kullanılarak 2012 yılının Mart ayından önce oluşturulan cüzdanlar, sıradan bir bilgisayar kullanıcısı tarafından kolaylıkla hack’lenebilir ve bu cüzdanlarda yaklaşık 100 milyon dolarlık fon bulunuyor. Öte yandan Blockchain.info platformu aracılığıyla 2015 yılına kadar oluşturulan cüzdanlarda ise yaklaşık 50 milyar dolarlık fon bulunuyor ve bu fonların 500 milyon dolarlık kısmı güvenlik açığıyla karşı karşıya.
Unciphered’ın kriptografi uzmanları, 2016 yılından sonra oluşturulan cüzdanlarda ise bu tür güvenlik açıklarıyla karşılaşmadıklarını bildirdiler.
Kimler Risk Altında?
Unciphered güvenlik açığını keşfetmesinden yaklaşık 20 ay sonra kamuoyuyla paylaştı. Bu da milyarlarca dolar değerindeki varlığın aylardır risk altında olduğu anlamına geliyor. Bununla birlikte Unciphered söz konusu güvenlik açığıyla ilgili olarak ilişkili kişilere gizliden gizliye uyarılarda bulundu.
Unciphered’ın söz konusu güvenlik açığını 20 ay boyunca kamuoyuyla paylaşmama amacı, hacker’ları ve kötü niyetli kişileri harekete geçirmeden önce mağdurları fonlarını farklı cüzdanlara taşımaya ikna etmekti.
Dolayısıyla Unciphered, Blockchain.info yani yeni adıyla Blockchain.com ile iletişime geçti. Blockchain.com bu güvenlik açığından etkilenen yaklaşık 1,1 milyon kullanıcısına e-posta gönderdi ve sitesini ziyaret eden kullanıcılarının cüzdanlarını otomatik bir şekilde güncelledi.