Key Takeaways:
(P1) Litecoin blok zinciri, Mimblewimble Extension Blocks (MWEB) gizlilik özelliğini hedef alan bir istismarı geri almak amacıyla 25 Nisan'da 13 blokluk önemli bir reorganizasyon gerçekleştirerek saldırıyı etkisiz hale getirmek için üç saatten fazla işlem geçmişini yeniden yazdı.
(P2) Resmi Litecoin hesabı yaptığı açıklamada, "Büyük madencilik havuzlarını etkileyen bir sıfır gün açığı... güncellenmemiş düğümler aracılığıyla geçersiz MWEB işlemlerine olanak tanıdı" dedi. Ekip, hatanın tamamen yamalandığını ve ağın istikrarlı olduğunu doğrulayarak bu süre zarfındaki tüm geçerli kullanıcı işlemlerinin etkilenmediğini vurguladı.
(P3) İstismarın temel nedeni, en son yazılım güncellemelerini uygulamamış olan madencilik düğümleri tarafından sahte işlemlerin işlenmesine izin veren bir hataydı. Zincir üstü veriler, yeniden düzenlenen 13 bloğun oluşturulmasının üç saatten fazla sürdüğünü gösteriyor; bu, normal hedef olan 32,5 dakikadan önemli bir sapma olup, başlangıçta gözlemcilerin %51 saldırısından şüphelenmesine yol açmıştı.
(P4) Olay, güncellenmemiş düğümlerin güvenlik delikleri oluşturabildiği Proof-of-Work ağlarındaki kritik bir savunmasızlığı vurguluyor. Zincirler arası protokol NEAR Intents, başlangıçta geçersiz işlemlerden dolayı 600.000 dolarlık bir maruziyet bildirmişti; ancak işlemler ana zincirden geri döndürüldüğü için gerçek kayıpların minimum düzeyde olması bekleniyor. Olay, Zcash kurucusu Zooko Wilcox'un bu tür geri alma (rollback) saldırılarının PoW zincirleri için yeni olmadığını belirtmesine neden oldu.
Saldırı vektörü, gizli işlemlere izin veren Litecoin'in MWEB gizlilik katmanına odaklandı. Sıfır gün açığı, saldırganların, ilgili tokenler orijinal zincirde doğru şekilde işlenmeden üçüncü taraf merkeziyetsiz borsalara varlık aktarmasına (peg-out) imkan tanıyarak bir çift harcama fırsatı yarattı.
Aurora Labs CEO'su Alex Shevchenko ve analist Zacodil gibi gözlemcilerin erken dönem zincir üstü analizleri, uzun blok sürelerini ve reorganizasyonu işaret ederek toplulukta bir varlığın ağı kontrol etmek için yeterli madencilik gücü elde ettiği %51 saldırısı korkusunu tetikledi. Ancak Litecoin ekibinden gelen resmi açıklama, olayı düşmanca bir ele geçirme değil, istismar tarafından oluşturulan geçersiz bir zinciri ıskartaya çıkarmak için ağ tarafından yapılan düzeltici bir eylem olarak yeniden tanımladı.
Başarılı istismar ve ardından gelen reorganizasyon, merkeziyetsiz ağlardaki güncel olmayan yazılımlarla ilişkili güvenlik risklerinin sert bir hatırlatıcısı niteliğinde. Güncellenmemiş düğümlerin saldırı için giriş kapısı olması, madencilerin ve düğüm operatörlerinin ağ bütünlüğünü korumadaki ortak sorumluluğunun altını çiziyor.
Zcash kurucusu Zooko Wilcox, Monero ve Grin gibi ağlardaki geçmiş sorunlara atıfta bulunarak X'te şunları yazdı: "Bu münferit bir olay değil. Yalnızca Proof-of-Work kullanan blok zincirlerine karşı bu tür birçok geri alma ve çift harcama saldırısı yapıldı." Litecoin olayı, çeşitli blok zinciri mutabakat mekanizmalarının güvenlik modelleri hakkında devam eden tartışmalara yeni bir vaka çalışması ekliyor. Reorganizasyon acil tehdidi başarıyla etkisiz hale getirmiş olsa da, değişmezlik ile felaket niteliğindeki hataları düzeltme yeteneği arasındaki ödünleşimler hakkındaki tartışmaları da yeniden alevlendiriyor.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
