Geliştiricilere Güveniriz: Bitcoin Bugları Gizlice Yok Oluyor, Altcoinleri Risk Altında Bırakıyor

Simon Chandler
| 5 min read

Bir hatanın bilgisini olabildiğince az kişiye vermek teknoloji sektörünün standart uygulamasıdır. Bildirim sorunları, altcoinler, özellikle de Bitcoin gibi diğer kripto para birimlerinden çatallanan altcoinler nedeniyle karmaşıktır.

Kaynak: Adobe/Krakenimages.com

Bitcoin (BTC) düzenli olarak piyasadaki en güvenli kripto para birimi olarak savunulmaktadır ancak ara sıra ortaya çıkan buglara karşı bile savunmasızdır, bu da BTC forklarının (çatallarının) aynı sorundan muzdarip olabileceği anlamına geliyor.

Bu kaçınılmaz gerçek, bir araştırma makalesinin Bitcoin’in ciddi bir hizmet reddi güvenlik açığı içerdiğini ortaya çıkardığı Eylül ayı başında meydana çıktı.

Makale, hatanın 2018’de keşfedildiğini ve düzeltildiğini açıklıyor ancak yine de bu hatanın ilk kez ortaya çıkarılmasını temsil ediyor. Güvenlik açığının keşfedilmesinden yaklaşık iki yıl sonra paylaşıldığı göz önüne alındığında, geliştiricilerin halkı tehlikelerden daha hızlı haberdar etme yükümlülüğü olup olmadığı sorusu da dahil olmak üzere Bitcoin ve diğer kripto para birimlerindeki ifşalar hakkında önemli sorular ortaya çıkarıyor.

Cryptonews.com ile konuşan geliştiricilere göre, yazılım hatalarını dikkatli bir şekilde korunan bir sır olarak saklamak (en azından bir düzeltme yapılıncaya kadar) Bitcoin ve kullanıcılarının çıkarları için yapılabilecek en iyi şeydir. Aynı zamanda, kripto borsaları, hataları önceden bilen hiçbir geliştiricisinin insider trading’ten (içeriden öğrenenlerin ticareti) kar elde etmeye çalışmamasını sağlamaya yönelik adımlar atıyor.

Defter ve ahlaki bir yükümlülük

22 Haziran 2018’de hatayı keşfeden Purse geliştiricisi Braydon Fuller, 9 Temmuz 2018’de Bitcoin Core geliştiricilerini bilgilendirdi ve bir gün sonra Matt Corallo, Wladimir J. van der Laan ve diğer geliştiriciler tarafından bir yama kullanıma sunuldu.

Başka hiç kimseye haber verilmediği halde Bitcoin’in diğer forklarında (Decred (DCR) gibi) hatanın varlığının bu yılın Temmuz ayında keşfedilmesi, Braydon Fuller ve Bitcoin geliştiricisi Javed Khan’ın bulgularını gecikmeli olarak Eylül ayında paylaşmasına yol açtı.

Bununla birlikte, bu durum, ilgili kişilerin güvenlik açıklarını ‘sakladığını’ ve gerekli açıklama sürecini takip etmediklerini gösterirken, kripto sektöründeki diğer geliştiriciler ve kişiler, işlerin defter tarafından hemen hemen yapıldığını doğruladı.

Büyük kripto saklama şirketi BitGo‘nun Baş Teknoloji Sorumlusu Ben Chan, "Projede çalışmayan biri bir hatayla karşılaşırsa, kod sahibini veya geliştiriciyi sorumlu açıklama süreci yoluyla mümkün olan en kısa sürede bilgilendirmeye yönelik ahlaki bir yükümlülüğünün olduğunu söyleyebilirim" dedi.

Braydon Fuller’ın 2018’de yaptığı tam olarak buydu. Açığın protokolün en son sürümünü etkilediğini doğrular doğrulamaz Bitcoin Core geliştiricilerine haber verdi.

Ayrıca geliştiricileri, yine standart bir uygulama olan şifreli e-posta kullanarak bilgilendirdi. Bitcoin geliştiricisi Nicolas Dorier, "Bitcoin core için [email protected]’u kullanabilir ve iletiyi GPG aracılığıyla iletişim kurmayı tercih ettiğiniz geliştiriciye şifreleyebilirsiniz" dedi.

Bazıları, yamalandıktan sonra güvenlik açığını açıklamadıkları için Bitcoin Core geliştiricilerini yanıltma eğiliminde olabilir. Dorier’e göre, geliştiriciler gerçekten yamaladıkları ve herkesin yazılımlarını güncellemesini sağladıkları sürece, belirli bir hatayı açıkça duyurmak gerekli değildir.

Cryptonews.com‘a konuşan Dorier, "Geliştiriciler hatayı açıklamadan düzeltir ve düzeltme, bir açığın herhangi bir zarar vermemesi için yeterince dağıtıldığında, kamuya açıklama yapılır. Geliştiriciler bazen ‘bu sürümü kullanmayın, 6 ay içinde düzelteceğimiz kritik bir güvenlik açığı var’ diyebilir" dedi.

Benzer şekilde, özellikle bir düzeltme geliştirilmeden önce, bir hatayla ilgili bilgileri olabildiğince az kişiye vermek teknoloji sektörünün standart uygulamasıdır.

"Olabildiğince az" diye onayladı Dorier, "ve genel olarak, geliştiriciler bir sızıntı varsa şüpheyi önlemek için bunun farkında olmamayı tercih ediyor."

Bir diğer Bitcoin geliştiricisi Bryan Bishop, bir güvenlik açığını duyurmanın — bir güncelleme yayınlandıktan sonra bile — en iyi yol olmayabileceğini ve açığın açıklanmamasının yazılım geliştirmede standart olduğunu doğruladı.

Cryptonews.com‘a konuşan Bishop, "Güvenlik açığını duyuramazlar çünkü kullanıcıların yükseltme yapması için yeterince zaman olmazsa, daha fazla zarar verebilir. Bununla ilgili her şey standart ve normaldir" dedi.

İlişkili riskler

Hataların bildirilmesiyle ilgili sorunlar, altcoinler, özellikle de Bitcoin gibi diğer kripto para birimlerinden çatallanan altcoinler nedeniyle karmaşıktır. Bir yandan, bir güvenlik açığını kamuya açık olarak paylaşmak çatallanmış coinleri saldırı riskine sokabilirken, diğer yandan, başka bir araştırmacı aynı açığı bağımsız olarak keşfederse, hataları paylaşmamak çatallanmış coinleri açığa çıkarabilir.

Bryan Bishop, "Ancak, özellikle altcoinler hakkında, insanların unuttuğu şey, bu güvenlik açıklarının illaki de çatallanan coinlerin 1.000’ine bildirilmemesidir" dedi.

Bishop’a göre, bir noktada, güvenlik bilgilerini binlerce başka geliştiriciden oluşan bir grup ile paylaşmak, güvenlik açığı bilgilerini kamuoyuna yayınlamakla eşdeğer veya aynı derecede zarar vericidir.

Bishop, "Bunun sonucu, güvenlik sorunları ile ilgili döngüde yer almayan bazı projeler olmasıdır" dedi, Decred’in iki yıl sonra hala Haziran 2018’deki güvenlik açığına sahip olduğu gerçeğinin vurguladığı nokta budur.

BitMEX sözcüsünün Cryptonews.com‘a açıkladığı üzere, bir başka risk ise insider trading’tir.

Sözcü, "Elbette, hataların açıklanmasıyla ilgili bir risk var, örneğin bir güvenlik açığı hakkında bilgi sahibi olan insanlar, bitcoin’de short pozisyon açabilir ve ardından güvenlik açığının ortaya çıkması ağ sorunlarına neden olur ve fiyatı düşürürse kâr edebilir" dedi.

BitMEX sözcüsü, borsanın bu riski son derece ciddiye aldığını belirtti: "Bu nedenle, Bitcoin’in birçok sürümünü çalıştırarak ve beklenmedik enflasyon tespit sistemi gibi otomatik uyarı sistemleri uygulayarak bu sorunların üstesinden gelmek istiyoruz."

___

Daha fazlası için:
Kriptoda Kişisel Veri Sızıntıları Kaçınılmazdır, İşte Yapılabilecekler