Blok zinciri (Blockchain) kelimesi, Satoshi Nakamoto’nun 2008 yılında yayınlanan orijinal Bitcoin başlıklı makalesinde dile getirilmiştir. Blokchain kelimesi makalede geçmemiştir. Ancak makalede kripto paranın altında bulunan teknoloji birleşenini, birbirine zincirlenmiş bir dizi veri bloğu olarak adlandırmıştır (Satoshi, 2008). Blok zinciri sisteminde tüm işlemler bloklar halinde kayıt altına alınmaktadır. Oluşan bu bloklar zincir şeklinde birbirine bağlanmaktadır. Daha sonra oluşturulan bu zincir bloklar dağınık kayıt defterlerine eklenmektedir. Bu oluşan zincirin yapısı tüm blokları birbirine bağlayan ve bir önceki bloğun özeti ile beraber olacak şekilde ilerlemektedir. Zincir üzerinde bir işlem gerçekleştiğinde mevcut ağ üzerinden yayınlanmaktadır ve şifreleme algoritmalarıyla birlikte işlem doğrulanarak blok oluşturulmaktadır. Sisteme dâhil olan her düğüm, sistemdeki herhangi 2 kişi tarafından yapılan işlemleri onaylayarak kayıt altına almaktadır. Bu sayede blok doğrulanmaktadır ve bu bilgilerin değiştirilmesi ve silinmesi imkânsız hale gelmektedir (Ünal ve Uluyol, 2020: 168). Blok zinciri teknolojisi ilk zamanlarda sadece sanal para birimi olan Bitcoin ile bağdaştırılmaktaydı. Blok zincirinin ilk uygulama alanının Bitcoin olması insanların algısında bu teknolojinin finansal bir alt yapı olarak düşünülmesine neden olmaktadır. Ancak blok zinciri teknolojisi sadece finansal bir yapı değil, çok daha geniş bir uygulama alanına sahip ve pek çok sektöre de etki eden bir sistemdir (Underwood, 2016: 15).
Blok zinciri teknolojisinin sağladığı avantajlar yanında sistemin çok karmaşık bir yapı içermesi ve standart bir yapının oluşturulamaması gibi birtakım sorunları da bulunmaktadır. Teknolojik alt yapı her geçen gün değişmekte ve blok zincir teknolojisinin de dünyada kabul edilebilirliğinin artması için bu teknolojinin gelişmeye ihtiyacı vardır. Ancak bazı sistemsel performans sorunları, kontrol riski, yüksek işlem maliyeti gibi sorunlar blok zinciri teknolojisinin risk seviyesini ve dezavantajlarını arttırmaktadır.
Kripto paralar, herhangi bir kuruluşa bağlı olmayan ve elektronik ortamda kullanıcıdan kullanıcıya transfer edilen dijital paralardır. Geleneksel para sistemine alternatif olarak üretilmiştir. Kripto para uygulamalarının altında bulunan teknoloji blok zinciri teknolojisidir. Bu paraların değerleri arz-talebe göre oluşmaktadır. İşlemler aracıya ihtiyaç olmadan gerçekleşmektedir. Kriptografi yardımıyla yapılan tüm işlemler güvenli hale gelmektedir (Tüfekçi ve Karahan, 2019).
Blok Zinciri Uygulamalarındaki Riskler:
Blok zinciri teknolojisi kullanım alanları ve avantajları incelendiğinde oldukça dikkat çeken bir teknolojidir. Birçok alanda uygulanabilir olması ve geleneksel kullanıma kıyasla daha hızlı sonuçlar vermesi teknolojinin önemini arttırmıştır. Bu teknoloji mevcut sistemin sorunlarına çözüm bulabilmek amacıyla geliştirilmiş bir sistem olmasına karşın yeni bir yapı olması nedeniyle çeşitli riskleri de beraberinde getirmiştir. Gerek güvenlik açıkları, gerek kodlarda meydana gelecek olan problemler ve henüz çok fazla uzmanın olmaması risklerin doğmasına yol açmaktadır. Blok zincirine hem yeni bir teknoloji olması hem de güvenlik açıkları nedeniyle bazı siber saldırılara maruz kalmaktadır. Bu saldırılardan bazıları %51 atağı, Çift harcama, Finney saldırısı, Yarış saldırısı, Vector 76 saldırısı, Sybil saldırısı’dır.
%51 Atağı:
Bu siber saldırı türü açık blok zinciri ağlarında oluşmaktadır. Ağın büyük bir çoğunluğunun bir kişi ya da grubun eline geçmesi işlemidir. %51 atağı gerçekleştiğinde tüm ağın kontrolü ele geçirilmemektedir. Ancak ağdaki işlemlere izin verilmeyerek sistemin çalışması zorlaştırılmaktadır (Baliga, 2020: 6). Bu şekilde o ağ manipüle edilip, siber saldırıya maruz kalmaktadır.
Çift Harcama:
Çift harcama dijital paralar üzerinden yapılabilecek bir siber saldırı türüdür. Harcama işleminin iki kez gerçekleştirilmesi işlemidir. Böylelikle bir risk oluşmaktadır. Ancak blok zinciri ağı büyüdükçe ve blok onay sayısı arttıkça çift harcama riski düşmektedir. Çünkü blok zincirine yeni bir blok eklemek işlem sayısı açısından fazla hesaplamalar gerektirmektedir. Gerçekleştirilen bir harcama işleminin tekrar yapılabilmesi için aynı işlemlerin tekrar yapılması gerekir. Bu da oldukça zor ve maliyetli bir işlemdir.
Finney Saldırısı:
Bir çift harcama saldırısıdır. Blok zinciri üzerinde bir işlem bloğa önceden yazıldığında ve madencilik yapılan bloğun ağa bırakılmasından önce aynı işlemin yapılmış olması durumudur. Böylece ikinci yapılan işlem geçersiz kalır ve bu boşluktan kaynaklı bir siber saldırı durumu oluşabilir.
Yarış Saldırısı:
Blok zinciri ağ üzerinde çelişen iki tane işlem oluştuğu durumlarda da saldırı oluşabilmektedir. Örneğin dolandırıcı tarafından satıcıya bir ödeme işlemi göndermesi ve aynı parayı başka bir ödeme de kullanması durumunda iki işlem çakışmaktadır. İkinci çakışan işlemin bir bloğa çıkartılması yani doğru olarak kabul edilmesi muhtemeldir.
Vector76 Saldırısı:
Finney ve yarış saldırılarının birleşiminden oluşan bir siber saldırıdır. Onaylama saldırısı olarak da nitelendirilebilir. Onaylı bir işlemin ikinci kez harcanması durumunda oluşmaktadır. Madenci biri yüksek diğeri düşük değere sahip iki tane işlem oluşturmaktadır. Yüksek değerli işlemi durdurarak düşük değere sahip işlemi üzerinden ağa katılmaktadır. Bu işlem ağda ana zincir olarak gözüktüğü için yüksek değere sahip işlem görülmemektedir. Düşük değerli işleme onay alan saldırgan ağın diğer kısmına bu işlemi gönderir. Eğer başarılı sonuç alırsa da yüksek değerli işlem tutarına sahip olmaktadır.
Sybil:
Saldırısı Sybil saldırısı madencilerin sahte düğümler oluşturması sonucu oluşan bir saldırı türüdür. Madenciler oluşturulan bu sahte düğümlerden yanlış bilgiler göndermektedir. Bu saldırı şeklinin ağdaki sahte işlemlerden dolayı yavaşlaması ve yanlış bilgilerin doğru bilgilere karışması sonucunda çökmesi şeklinde önüne geçileceği düşünülmektedir (Taş ve Kiani, 2018: 376).
Geçmişten Günümüze Kripto Paralara İlişkin Yaşanan Güvenlik Sorunları:
Blok zinciri teknolojisinin yeni bir teknoloji olmasından dolayı bir takım yazılım hatalarını içermektedir. Yazılım hatalarından dolayı da siber saldırılara maruz kalabilmektedir. Önlem alınmaması halin de de yüksek maddi kayıplara yol açmaktadır. Kripto para piyasalarında meydana gelen bazı siber saldırılar aşağıda verilmiştir.
MtGox vakası sanal paraların nasıl hacklenebileceğini gösteren en ünlü hack olaylarından bir tanesidir. Japonya merkezli Bitcoin borsası Mt. Gox 2010 yılından beri hizmet vermekte olan en büyük Bitcoin borsalarından biriydi. Bu borsa iki kez hacklenmiştir. İlki Haziran 2011’de, bilgisayar korsanının Mt. Gox’un denetçisinin kimlik bilgilerini ele geçirdikten sonra 2609 Bitcoin çalmasıyla gerçekleşti. İkinci saldırı ise 2014 yılında gerçekleşti. 2014 yılında, Mt. Gox borsası dünyadaki Bitcoin işlemlerinin yaklaşık %70’ni gerçekleştiriyordu. Bu sefer hacklenen BTC miktarı ise Mt. Gox’un iflasına sebep oldu. Öncelik olarak Mt. Gox, işlemleri durdurdu. 750.000’i Mt. Gox firmasının tarafından yönetilen ama mülkiyeti müşterilere ait toplam 850.000’den fazla bitcoin kayboldu. Firma basın açıklamalarıyla durumu dünyaya duyurdu. Basın açıklamalarıyla birlikte firmanın internet sitesine saldırılarda artışlar da gözlemlenmiştir (Güner, 2019: 45). Firma bu olay üzerine iflasını ilan etmiş olmasına rağmen olay hala soruşturulmakta ve yargı süreci devam etmektedir.
Independent Security Evalutors tarafından yayınlanan rapora göre bir hacker, hatalı kodlardan yararlanarak çok sayıda özel anahtarı bulmuş ve hesap üzerinden çeşitli işlemler gerçekleştirerek yaklaşık olarak 45.000 Ethereum’u ele geçirmiştir.
2016 yılında Ethereum platformu üzerinden çalışan bir proje olan DAO (Decentralized Autonomous Organization), siber saldırıya maruz kalmıştır. Bu saldırıda DAO fonlarının üçte birini kaybetmiştir. Bu saldırıdan birkaç gün önce bu güvenlik açığı fark edilmiş ancak gerekli uzman ve prosedürün bulunmamasından dolayı açık kapatılamamıştır.
Ülkemizde ise kripto borsası Thodex’in işleme kapanmasıyla nitelikli dolandırıcılık soruşturulması başlatılmıştır. Şirketin kurucusunun 2 milyar dolar ile yurt dışına kaçtığı iddia edilmektedir. Bu dolandırıcılıkla birlikte 400 bine yakın yatırımcının mağdur olduğu öngörülmektedir. Bu risklerin önüne geçebilmek için çeşitli yasal düzenlemelerin getirilmesi gerektiği düşünülmektedir.
Güney Kore merkezli CoinUp müşterilerine yüksek vaatlerde bulunuyordu. 10 hafta içerisinde %200 kadar getiri elde edeceklerini söyleşmişlerdir. Ancak ödemeler yeni kullanıcılardan topladığı paralarla yapılıyordu. 2019 yılında iflas etti. Kurucusu 16 yıl hapis cezası verildi. Yatırımcıların 384 milyon dolar kaybı olduğu söylenmektedir.
ABD’de Bitcoin Savings & Trust adlı şirket Bitcoin’ini kendi cüzdanlarına yatırarak haftalık %7 faiz vermeyi vaat etti. Ancak yeni kullanıcılardan elde ettiği kaynakları eski kullanıcılara faiz olarak vermektelerdi. Miktarlar büyüdükçe sistem çökmeye başladı. 2012’ye gelindiğinde 700.000 Bitcoin toplandı. Bu nedenle faizler düşürülmeye başlandı. Sistemden çıkışlar hızlandı ve 2012’de Bitcoin Savings & Trust iflas açıkladı. Yatırımcılar paralarını geri alamamıştır.
2014 yılında kripto para borsalarını işleten Moopay iflas açıkladı. Firmanın CEO’su nakitleri sıkıntısından dolayı iflası bildirdi. Ancak CEO’nun daha sonra ünlü internet dolandırıcısı Ryan Kennedy olduğu ortaya çıktı. Kennedy yatırımcının 2 milyon dolarıyla kayıplara karıştı. Ancak 2016’da İngiltere’de tutuklanarak 11 yıl hapis cezasına çarptırıldı. Yatırımcı ise parasını alamadı.
Hong Kong merkezli Mycoin de iflas eden kripto para borsalarındandır. Mycoin 2014’te yatırımcılarına 90 Bitcoin yatırmaları durumunda kısa sürede yüzde 150 kazanç vaat ediyordu. Ağustos 2015’te platform dolandırıcılık suçlamalarıyla kapatıldı. Yatırımcıların buradaki kaybı ise 400 milyon dolar oldu.
Güney Afrika merkezli kripto para platformu MTI 2020 yılında batan şirketler arasındadır. Platformuna Bitcoin getirenlere piyasanın çok üzerinde getiri vaat eden MTI otoriteler tarafından yanlış beyanlarının ortaya çıkarılmasının ardından aralık ayında iflas etti. Yasal süreç devam ederken, yatırımcıların şimdilik kaybının 540 milyon dolar olduğu tahmin edilmektedir.
Şangay merkezli kripto para borsası Hotbit, yakın zamanda siber saldırıya uğrayan para borsalarındandır. Yapılan açıklamada 29 Nisan 2021 tarihinde bir siber saldırı meydana geldiğini bu nedenle bir bakım çalışmasına gidileceği duyuruldu. Saldırının başarısız olduğu ancak veri tabanının tehlikeye atıldığı belirtilmiştir.
İngiltere merkezli kripto para borsası Exmo, 21 Aralık 2020 tarihinde yaptığı açıklamada şüpheli çekim faaliyetlerinin yaşandığını ve tüm çekim işlemlerinin durdurulmasına yönelik bir açıklama yapmıştır. Tüm zararlar henüz bildirilmemekle birlikte Bitcoin, Ether, Tether, Zcash gibi kripto paraların zarara uğradığı tespit edilmiştir.
Yeni Zelanda merkezli kripto para borsası Crytopia, 2019 yılında yaptığı açıklamada siber saldırılara maruz kaldığını ve milyonlarca dolarlık kayıp yaşandığına dair bir açıklama yapmıştır. 16 milyon doların üzerinde kripto para kaybı yaşandığı düşünülmektedir. Soruşturma Yeni Zelanda polisi tarafından devam etmekte olup, şirket kullanıcılara para işlemi yapmamaları gerektiğini duyurmuştur.
Eski CIA ajanı Richard LaTulip kripto para işlemlerinin yeni başladığı zamanlarda bilgisayar suçluları arasında kripto paralar ile birçok bilgi edindiğini ifade etmiştir.
2016 ABD seçimlerinde Rus Askeri İstihbarat Teşkilatı’nda çalışan 15 kişi, sanal para kazanmak suretiyle seçimleri manipüle etmeye çalışmıştır. Bu örnek kripto paranın seçmen tercihlerini çarpıtmada kullanılabileceğine işaret etmektedir.
Kuzey Koreli bilgisayar korsanları ABD’de yer alan bankalardan yaklaşık 1,3 milyar dolarlık kripto para çalmıştır.
Türkiye’de son zamanlarda bir kripto para şirketinde 2 milyar dolar civarında dolandırıcılık yapıldığına yönelik iddialar neticesinde İstanbul Anadolu Cumhuriyet Başsavcılığında başlatılmış bir soruşturma bulunmaktadır. Kripto para işlemlerinde yaşanan bu olaylar sistemde bir güvenlik açıklığı olduğunu ve her türlü siber saldırı ve dolandırıcılık işlemleriyle karşılaşılabileceğini göstermektedir. Kripto para piyasasının büyüklüğü ve sistemdeki güvenlik açıkları da olunca bu tarz vakaların çıkması mümkün olmaktadır.
Siber Güvenlik Uzmanı – Halil AYDEMİR