Gizlilik odaklı kripto para Zcash (ZEC), blok zincirinin en gelişmiş gizlilik havuzu Orchard’da kritik bir güvenlik açığı bulunduğunun açıklanmasının ardından sert bir satış dalgasıyla karşılaştı. Açığın sınırsız sayıda ZEC basmaya imkan verecek türden bir açık olduğu belirtiliyor.
ZEC, son 24 saatte yaklaşık %54 değer kaybederek 250 dolar seviyesine kadar geriledi. Düşüşün büyük bölümü, açığa ilişkin paylaşımın yayımlanmasının ardından gelen beş saat içinde gerçekleşti.
Açık ne kadar tehlikeliydi?
Zcash’i destekleyen bağımsız bir geliştirici organizasyonu olan Shielded Labs, bulguları bugün sosyal medya platformu X üzerinden kamuoyuyla paylaştı. Organizasyona göre açık, bir saldırganın hiç fark edilmeden sınırsız miktarda sahte ZEC basmasına olanak tanıyordu. Bu, birinin gizlice merkez bankasının para basma mekanizmasına erişmesi ve basılan paraların izinin merkez bankası tarafından dahi takip edilememesi ile benzerlik taşıyor.
Açığı yapay zeka destekli inceleme ortaya çıkardı
Açık, Shielded Labs’in nisan ayında kötü niyetli aktörlerden önce bu tür zafiyetleri tespit etmesi için anlaştığı güvenlik mühendisi Taylor Hornby tarafından 29 Mayıs’ta bulundu. Zcash ekosistemine uzun yıllardır önemli katkılar veren isimlerden olan Hornby, incelemede hem geleneksel güvenlik araştırması yöntemlerini hem de yapay zeka destekli teknikleri kullandı.
Hornby, Orchard devresindeki açığı Anthropic’in yeni yayımladığı Opus 4.8 modeli ile özel olarak geliştirilmiş bir yapay zeka altyapısı ve komut setinden yararlanarak ortaya çıkardı. Shielded Labs, Hornby’nin Opus 4.8 desteğiyle eksiksiz bir saldırı kodu yazdığını ve bunu test ortamında denediğinde sınırsız ve tespit edilemez sahte ZEC ürettiğini belirtti. Organizasyona göre aynı araç Zcash ana ağında çalıştırılsaydı doğrudan saldırganın cüzdanında sınırsız sayıda sahte token oluşturabilirdi.
Hornby, açığı keşfeder etmez Zcash Open Development Lab (ZODL) ekibiyle paylaştı. ZODL, 1 Haziran’da acil bir yama devreye alarak açığı keşiften sadece birkaç gün sonra kapattı.
Hata dört yıldır fark edilmemiş!
Hızlı müdahaleye rağmen piyasa bu gelişmeden olumsuz etkilendi. Bunun başlıca nedeni, Shielded Labs’in de kabul ettiği üzere açığın Orchard’ın Mayıs 2022’de devreye girmesinden bu yana, yani yaklaşık dört yıldır fark edilmeden var olmasıydı.
Tabloyu daha karmaşık hale getiren bir başka nokta ise açığın yamadan önce kullanılıp kullanılmadığının kesin olarak bilinemiyor olması. Shielded Labs, Orchard’ın gizlilik özellikleri ve açığın doğası gereği, yalnızca kriptografi kullanılarak böyle bir istismarın daha önce gerçekleşip gerçekleşmediğinin kesin biçimde tespit edilemeyeceğini, bu belirsizlik konusunda şeffaf olmayı önemsediklerini vurguladı.
“Açığın kullanılmış olma ihtimali düşük”
Buna karşın organizasyon, açığın güncelleme öncesinde kullanılmış olmasından endişe duymadıklarını belirtti ve bunun birkaç gerekçesi olduğunu sıraladı. Açık yıllarca, dünyanın en iyi kriptografları dahil pek çok uzmanın incelemesinden kaçmıştı. Ortaya çıkması ise yalnızca en güncel yapay zeka araçları ve bu işe özel olarak odaklanmış nitelikli araştırmacıların kasıtlı çabasıyla mümkün oldu. Ayrıca açık, keşfedildikten sonra çok hızlı şekilde kapatıldı.
Arz bütünlüğü için ağ güncellemesi gündemde
Organizasyon yine de kullanıcıların yalnızca bu değerlendirmeye güvenmemesi gerektiğini belirterek, herkesin ZEC arzının bütünlüğünü bağımsız biçimde doğrulayabilmesini sağlayacak bir ağ güncellemesi önerdi. Shielded Labs, konuya ilişkin ayrıntılı bir yazıyı önümüzdeki hafta yayımlayabileceğini açıkladı.
Shielded Labs, “Bu ciddi bir açıktı ve bunun Zcash kullanıcıları için ne anlama geldiği konusunda şeffaf olmanın önemli olduğuna inanıyoruz. Hiç kimse böyle bir açığı keşfetmek istemese de Zcash’in toparlanmak için güçlü bir konumda olduğundan eminiz” ifadelerini kullandı.
Daha Fazlasını Okuyun
