Blok Zinciri ve Güvenlik

Merhaba,

Bu yazımızda Blockchain yani “Blok Zincir” teknolojisine yapılabilecek saldırıları ele aldık. Merkezi olmayan bir yapıda güvenliği sağlamak kolay değil ayrıca bazı kripto para birimleri aşağıda değindiğimiz saldırılara maruz kalabilir ve dürüst davranmayan madenciler tarafından suiistimal edilebilir.

1

Havuz Stratejileri

Kripto para madenciliği, güçlü yazılım ve donanımların kripto para işlemlerini onaylaması ve yeni bloklar üretmesi olarak açıklanabilir. Blok zincir çalışma mantığında, en hızlı blok üreten ve işlemleri onaylayan madenciye ödül verilir. Verilen ödül madenciliğe teşvik etmektedir. Tek başına madencilik yapmak karlı olmayabilir, bu nedenle madencilik havuzlarına yönelimler daha optimize edilmiş bir stratejidir. Toplu olarak yeni bir blok bulma olasılığı artar ve havuz üyeleri topluca ödül alır. Kazanılan karın arttırılması için bazı stratejiler bulunmakta ve bu stratejilerin hepsi etik sayılmamaktadır.
Madencilik havuzlarında iki popüler ödeme planı bulunmakta olup bunlardan biri pay başına ödeme planıdır. Pay başına ödeme planında her pay veya geçerli blok için ödeme yapılır. Bu ödeme, havuzun ne kadar ödüllendirdiğine bakılmaksızın, pay başına garantili ve sabittir. Diğer popüler plan ise orantılı şemalardır. Orantılı şemalar, yalnızca bir blok bulunduğunda ödeme yapan diğer bir kategoridir. Her madencinin ödülü, blok bulunmadan önce sunulan pay sayısıyla orantılıdır. Madenciler, yalnızca havuz tarafından geçerli bir blok bulunduğunda ödeme alır.
Havuz madenciliğine yönelik tehditler aşağıdakiler gibi sıralanabilir.

Havuz Değiştirme Yöntemi (Pool Hoping)
Bu saldırıda madenci orantılı ödeme yapan havuzda madenciliğe başlar, ödül pay başına ödeme miktarına düşene kadar bu havuzda kalır. Eğer büyük miktarda pay gönderilmiş ve blok bulunamamış ise ödülden küçük bir pay alacak olan saldırgan, pay başına ödeme yapılan havuza atlar çünkü orantılı havuzda ödül gönderilen paya bağlı olarak dağıtılmaktadır. Böylelikle pay başına ödeme yapılan havuzda daha fazla kazanç elde edebilecektir.

Bencil Madencilik (Selfish Mining)
Bir madenci avantaj sağlamak ve daha fazla ödül almak adına, bulduğu bir bloğu yayınlamak ve ödülü almak yerine saklı tutmayı tercih edebilir. Bloğu serbest bırakmadığı için kendi gizli zincirinde hash oranının %100’üne sahip olmuş olur. Halka açık olan zincir uzunluğu, bencil madencinin gizli zincir uzunluğuna yakın olduğunda, saldırgan gizli bloklarını yayınlar ve bir anda en uzun dürüst zincire sahip olur. Madencilikte en uzun zincir kabul görmektedir. Bu madenci böylelikle en fazla blok ödülünü alır.

2

“Hash” Oranı Ne Kadar Etkili?

Bir saldırgan havuzda ne kadar fazla hash oranına sahip ise o havuzda o kadar fazla yetkiye sahip olmaktadır. Bu çerçevede blok zincirinde oluşabilecek tehditleri yazımızın devamında açıkladık.

Öncelikle “Hash Oranı” nedir sorusunu cevaplayalım; madencilikte kullanılan cihazların tamamında var olan matematiksel işlem gücünün adıdır ve “hash power” olarak da tabir edilir. Madencilikte yapılan matematiksel işlemlerin temel amacı, ağın güvenliğini sağlamak ve genel işleyişi verimli hale getirmektir.
Çift Harcama Saldırısı (Double Spending Attcak)
Çift harcama, aynı değeri birden fazla kez başarılı bir şekilde harcayabilmek anlamına gelir. Çift harcama yapmak için kullanılan yöntemlere şu örnekler verilebilir;

Yarış Saldırısı (Race Attack)
Aynı anda aynı fonu kullanan iki işlem yapılır fakat işlemlerden biri onaylanır. İşlemlerden henüz tamamlanmamışken aynı UTXO’yu (harcanmamış işlem çıktısı) daha yüksek bir işlem ücreti ile farklı ağlara gönderilmesi madenciler tarafından tercih sebebi olur ve ikinci işlem böylelikle tamamlanır. Yarış saldırıları alıcının onaylanmamış bir işlemi ödeme olarak kabul etmesini gerektirir.

%51 Saldırısı
Bir saldırgan ağ hash oranının %50’sine sahip ise halka açık, doğru zincire eşit uzunlukta bir zincir oluşturma şansı yüzde 100’dür. Böylece işlemlerin sırasını değiştirebilir ya da bazı işlemleri dışarıda bırakabilir.

Sansür Saldırısı (Censorship Attack)
Sansür saldırısında, bir bireyin veya bir grubun işlemleri göz ardı edilebilir, birey veya grup zincirden izole edilebilir ve bitcoinleri etkili bir şekilde işe yaramaz hale getirilebilir. Örneğin bir saldırgan ağ hash hesaplama kapasitesinin %51’ine sahip ve böylece belirli bir sınır içindeki tüm madencilik havuzlarının yargı yetkisine sahip olsun. Saldırganın amacı karşısındakinin Bitcoin adreslerini sansürlemek ve Bitcoin’inden herhangi birini harcamasını engellemektir. Bunun için saldırganın ilk stratejisi tüm madencilik havuzlarına kara listeye alma olarak da bilinen işlemleri dahil etmeme talimatını vermesidir. Bununla birlikte, saldırgan hash oranının %100’üne sahip olmadığı sürece, işlemi kabul eden madenciler olacak, saldırıya uğrayan kişinin işlemi bir bloğa eklenecektir. Yani saldırgan karşısındakini tamamen kara listeye aldırmış olmamakla sadece işlemlerin gecikmesini sağlamıştır. Ancak bu gecikmeler saldırganın hash oranına göre önem arz edebilir.

Cezalı Çatallanma (Punitive Forking)
Saldırganın ağ hash oranının %51’den fazlasına sahip olduğunu varsayıldığında tüm havuzlarının karşısındaki kişi veya grubun adresinden yapılan harcamaları içeren bir zincir üzerinde çalışmayı reddedeceğini söyleyebilir ve bunu tüm zincire duyurabilir. Madenciler saldırganın duyurduğu işlemi bir bloğa dahil ederse, saldırgan daha uzun bir blok zinciri çatallanması oluşturur.
Çatallanma, saldırganın devre dışı bırakmak istediği bloktan önce zincire yeni bloklar eklemesi ve ondan sonraki blokları etkisiz kılması olarak açıklanabilir. Böylelikle işlemi içeren blok geçersiz kalır ve hiç yayınlanmamış olur.
Bu işlemin arkasında blok ekleyen madenciler ödül kazanamazlar. Diğer madencilerde bu bloğun en uzun zincire bağlı olmadığını bildikleri için işlemi kabul etmeyeceklerdir. Bu strateji “Cezalı Çatallanma” olarak bilinir.

Köpük Saldırısı (Feather Forking)
Bu saldırı türü Cezalı Çatallanma Saldırısına göre daha basit bir saldırı türüdür. Çünkü cezalı çatallanma, %51’den fazla hash kapasitesine sahip olmayı gerektirir. Köpük saldırısında saldırgan blok zincirinde istemediği bir işlem görürse çatallanma yapacağını duyurur ama bir süre sonra vazgeçer. Madenciler sahipsiz kalması söz konusu olan blokları zincire katmak konusunda şüpheye düşer ve işlem gerçekleşmeme ihtimali artmış olur.

Fark ettiğiniz gibi blok zincirinde ciddi suiistimallerin gerçekleşmesi için saldırganların blok zincirinde çoğunluğa sahip olması gerekmektedir.

BOLD&Digital 2018 yılında “hibrit” danışmanlık firması olarak kurulmuştur. Uzmanlığı bilgi sistemleri yönetişimidir. Müşterilerine sadece proje teslim etmekle kalmaz, projelerin uzun dönemde hedeflenen amaca ulaşması için hizmet verir.

Tüm Bilgi Sistemleri yönetişim ve uyum projelerinizde global deneyim ve yerel yaklaşım arıyorsanız bize ulaşın.

how can we help you?

Contact us at BOLD&Digital office nearest to you or submit a business inquiry online.

Looking for a First-Class IT Governance Consultant?