‘Kripto Haydut’ sanal paraları çalmanın en kolay yolunu bulmuş

Gerek BitCoin’in, gerekse diğer büyük kripto paraların arkasında güçlü ve güvenilir bir teknoloji var ama bu teknoloji de geliyor sonunda kullanıcı insanın sınırına takılıp kalıyor. Kripto soygunlar için çok çarpıcı bir örnek Ethereum’da yaşananlar.

HİKMET CAN PERTAN

Hiç kripto paranız oldu mu? Benim oldu. Yıllar önce bir alışveriş için Amerika’da birisine 1 Bitcoin’den az bir para göndermem gerekiyordu, mecburen bir ‘kripto cüzdanı’m oldu.

Şimdi yıllar sonra aynı cüzdanı bu yazıyı yazmak için tecrübe olsun diye yeniden kullandım; bu sefer 1.36 Ethereum aldım.

Kripto para almak ve satmak veya bir yerlere göndermek için yapmanız gereken ilk iş bir ‘kripto para cüzdanı’na sahip olmak.

İnternette çok sayıda cüzdan var; ben kendimce bir tarama yapıp iyi ve güvenli bulduğum bir tanesini kullanmaya karar verdim. (Reklam veya yönlendirme gibi olmasın diye isim vermiyorum.)

Sonuçta ‘cüzdan’ dediğiniz şey bir yazılım ve o yazılımın arkasındaki bir web sitesi.

Cüzdan işletmecisi şirketler aslında bu kripto para pazarında en garantili para kazanan yerler. Her işlemden yüzde 20’ye varan komisyonlar alıyorlar. Ben 1.36 Ethereum almak için dünyanın parasını ödedim, bunun hatırı sayılır bölümü o şirkete gitti. Yani, aslında kripto para almak, mecbur kalmadıkça, pek akıl karı bir iş değil.

Kripto para ve cüzdanı nasıl işliyor?

Bir kripto para cüzdanınız olduğunda, o cüzdana erişebilmek için de bir şifreniz oluyor. Daha doğrusu cüzdan sizden bir şifre yaratmanızı istiyor. Buraya öyle kolay tahmin edilebilir bir şifre koymasanız iyi edersiniz. Ama tabii unutmayacağınız bir şifre olmasında da fayda var. Birkaç ay önce hikayesini okumuştum, bir gazeteci kripto para cüzdanının şifresini unutmuş ve hatırladığı kadarıyla da cüzdanında 42 Bitcoin varmış. 460 bin dolardan fazla para yani. Ve o paraya ulaşamıyor artık, çünkü şifreyi hatırlamıyor.

Siz cüzdan şifrenizi yarattığınızda çoğu cüzdan sizin için çeşitli kripto para birimlerinde kamuya açık şifreler yarattığı gibi bir de sadece size özel şifreler de yaratıyor.

Aslında, diyelim Ethereum’dan veya BTC’den söz ediyoruz; bir kamuya açık şifre anahtarınız bir de özel şifre anahtarınız olmadan hiçbir işlem yapamazsınız. Özel anahtar, akılda tutamayacağınız kadar uzun bir harf ve rakam dizisinden oluşuyor. Bazı cüzdanlar bu anahtarı kendi içinde tutuyor, bazı cüzdanlar var, fiziken o özel anahtarı elinizde taşımanızı istiyor, o yüzden size bir USB bellek gönderiyorlar.

İster cüzdanda ister USB’de fark etmiyor, o özel şifre anahtarlarınızı korumak için bir de tamamen size özel bir başka şifre yaratıyorsunuz. Yani en başta yarattığınız cüzdan şifresi.

Kutu kutu içinde

Şöyle düşünün: Sizin için çok kıymetli bir şeyi minik bir kutunun içine koyuyorsunuz, kutuyu da şifreli bir anahtarla kilitliyorsunuz. Sonra o kutuyu alıp biraz daha büyük bir kutunun içine koyuyorsunuz, o daha büyük kutuya bir de minik kutuyu açacak şifreli anahtarı da koyuyor sonra kutunun kapağını kapatıyor ve yeni bir şifreli anahtarla onu kilitliyorsunuz. Şifreli anahtar aklınızda.

Bu iki seviyeli saklamanın normal şartlarda gayet güvenli olması gerekir. Ancak sorun şu ki, o koca kutu herkesin gözünün önünde duruyor. Her ne kadar kutunun şifresi sizde duruyor olsa da, bu başkalarının o şifreyi tahmine uğraşmasına engel değil.

Nitekim bu yolla, yani bireylerin cüzdan şifresini tahmin yoluyla çok sayıda kripto para soygunu oldu. Hatta son olarak büyük bir kripto cüzdan şirketini soydu birileri, 100 milyonlarca dolar çaldılar.

Normalde kripto para zincirinin en zayıf halkasının bu olduğu, yani cüzdan şifreleri olduğu düşünülürdü yakın zamana kadar. Çünkü doğrudan BTC veya diğer kripto paralar için yaratılan o uzun şifrelerin kırılamayacağı varsayılırdı.

Ama geçen yıl ortaya çıkan bir olaydan beri artık kimse öyle düşünmüyor. (O olayın haberi şurada: https://www.wired.com/story/blockchain-bandit-ethereum-weak-privatekeys/ )

Ben kabaca özetlemeye çalışayım, meraklısı İngilizce de biliyorsa en detaylı halini şuradan okuyabilir: https://www.securityevaluators.com/casestudies/ethercombing/

Amerika’nın Baltimore şehrinde kurulu bir internet güvenlik firması olan ISE, bundan bir süre önce bir kripto para şirketi için kripto paranın güvenli olup olmadığını, güvenli değilse nerelerde güvenlik açığı olduğunu araştırmak üzere kiralandı.

256-bit’lik şifreyi çözmek çok zor ama…

Şimdi uzun uzun matematiğini anlatmaya kalkmayacağım ama ISE cüzdan şifrelerine değil de kripto para için o kripto parayı var eden blockchain’in bir hesap açılır açılmaz otomatik olarak yarattığı özel şifre anahtarını araştırmaya başladı.

Bu anahtar 256-bit uzunluğunda ve şifre bilimcilerin ‘eliptik eğimli’ adını verdiği yöntemle, tamamen endüstri standardı olan ECDSA kullanılarak rastlantısal olarak yaratılıyor ve sonra bu şifre de ‘keccak 2562’ adı verilen bir sistem kullanılarak ‘hash’ ediliyor, yani şifreniz belli bir algoritmayla başka karakterlere dönüştürülüyor. Orada da bitmiyor, ISE mesela Ethereum’u incelemiş özel olarak, onların sisteminde bu ‘hash’ 160 bitlik başka bir algoritmayla sizin kamuya açık Ethereum adresinizin yaratılmasında kullanılıyor.

Bunu bir zayıflık sanmayın, Ethereum adresinden geri dönüp sizin özel anahtarınıza ulaşılması mümkün değil.

ISE, Ethereum’un bu kırılması imkansız gibi duran kişiye özel şifre anahtarlarına bakarken bir deneme yapmak istemiş, 256-bit’lik bir anahtarda olabilecek en basit anahtarı kullanmaya kalkmış. En basit anahtar tahmin edilebileceği gibi 01 numaralı anahtar, tabii başında 254 tane daha 0 var.

Ve bingo! ISE’nin analistleri dehşete kapılmış, gerçekten de 01 anahtarını kullanan bir hesap var. Ve tabii hesap boş.

Bunun üzerine bir dizi son derece basit anahtarı denemeye başlamışlar. Sonuç dehşet verici: ISE analistleri tam 732 tane Ethereum hesabı saptamışlar, kolayca tahmin edilebilir nitelikte basit anahtarların atandığı.

‘Haydut’ anında çalıyor parayı

Ve daha da dehşet vericisi şu:

ISE’nin ‘Blockchain haydudu’ adını verdiği bir kişi veya bir grup tarafından kontrol edilen başka bir hesap var; o hesap gelip bu basit anahtarlı hesapları boşaltıyor.

Hatta bir deneme de yapmışlar: Basit anahtarlı bu 732 hesaptan birine küçük bir para göndermişler. Para daha varır varmaz o hesaptan ‘Blockchain haydudu’nun hesabına transfer oluvermiş.

Bu elbette organize bir soygun. ISE’nin raporunda yazdığına göre 13 Ocak 2018 tarihi itibarıyla ‘Blockchain haydudu’nun hesabında 37 bin 926 Ethereum vardı. O günkü piyasa fiyatıyla 54 milyon 343 bin 407 dolar yani. Anlayacağınız hırsızlık büyük.

Peki nasıl olmuş da son derece güvenli sandığımız kişiye özel şifre anahtarları bu kadar basit, bu kadar kolay bulunur olmuş?

Normal şartlarda 256-bit uzunluğundaki bir anahtarı bulmak, süper bilgisayar bile kullansanız yıllar alacak bir çaba. Ama tabii sonuçta bu anahtarları üreten bir algoritma var ve her algoritma gibi bunun da tersten nasıl çalıştığını bulmak ve zayıflıklarını saptamak mümkün.

Zayıf şifreleri sistem otomatik atamış

Spesifik bir şifreyi çözmek için değil de, rast gele zayıf bazı şifreleri tahmin etmek için çalıştığınızda çok sayıda zayıf şifreyi buluveriyorsunuz. Sonuçta ‘Blockchain haydudu’nun yaptığı ile ISE’nin yaptığı arasında bir fark yok. Yani bir kişi veya grup, ‘Blockchain haydudu’ zayıf şifreleri aramayı nasıl akıl ettiyse ISE de aynı şekilde etti ve kullandıkları matematik de bire bir aynı.

Bu da bana, gençliğimde seyrettiğim bir Fransız filminin başında yazan notu hatırlattı: “Bu filmde göreceğiniz bütün olaylar hayal ürünüdür ve hayal ürünü oldukları için de tümüyle hayal edilemez değildir.”

Tabii, böyle bir zayıf şifre sorununun Ethereum’da olduğu artık açık. Peki ama neden böyle bir sorun var?

ISE analistlerine göre Ethereum’un rastgele şifre atayan yazılımı yüzünden oluyor bütün bunlar. O yüzden benim gibi yapın: Eğer Ethereum alacaksanız, sistemin size atadığı şifreye dikkat edin; bu şifrenin ‘kolay’ olduğunu düşünürseniz yeniden şifre isteyin.

Hırsız yakalanacak mı?

Acaba Ethereum’daki hesapları kim soyuyor, onu yakalamanın bir yolu yok mu?

Aslında var. Kripto paralarla ilgili yaratılan şehir efsanelerinin başında, bu paraların devletler tarafından takip edilemezliği geliyordu. Ama bu doğru değil. Daha doğrusu, bir insan bütün hayatını Ethereum (veya başka bir kripto para) kullanarak geçirebilirse, evet, onun kim olduğunu bilemeyebiliriz. Ama bu mümkün değil.

Kripto paralar henüz tam anlamıyla birer değişim aracı değiller. Yani, kripto para verip lokantada yemek yiyemiyor, bakkaldan alışveriş edemiyor, üstünüze kıyafet alamıyorsunuz. Bütün bu sıradan işler için eski usul kağıt paraya veya kredi kartına ihtiyacınız var.

Yani, kripto paranızı diyelim dolarla, diyelim TL ile değiştirmelisiniz önce; sonra da dolar veya TL’yi ya bir banka hesabına ya da kredi kartı hesabına yollamalısınız, sonra da nerede harcayacaksanız orada harcamalısınız.

İşte kripto para hesabınızdan para bozdurmaya kalktığınız an kimliğiniz de ortaya çıkıyor.

Şimdi ‘Blockchain haydudu’ eğer parası çalınanlar tarafından şikayet edilirse (çünkü daha kimse ‘Benim param çalındı’ diye polise gitmiş değil bilindiği kadarıyla) ve polis de onun peşine düşerse, parasını bozdurduğu zaman yakalanacak demektir.

Şarjı 30 yıl bitmeyen telefon istemez misiniz?

Başlıktaki soruya kimse hayır demez elbette. Peki, nasıl olacak bu iş? Dünya, ‘nükleer transmutasyon’ adı verilen şeyi 130 yıldır biliyor. Evrendeki ve dünyamızdaki bazı atomların bazı izotopları, kaçınılmaz biçimde alfa veya beta radyasyonu yayıyor; yani içinden parçacıklar çıkıp etrafa yayılıyor.

Yeterince zaman geçtiğinde bu atomlar başka bir atoma dönüşecek kadar parçacık kaybetmiş oluyorlar.

Başlıktaki sorunun cevabıyla bu radyasyonun ne ilgisi var demeyin, ilgisi var. Burada bizi ilgilendiren beta adı verilen radyasyon çeşidi. Atomların içlerinden böyle parçacık eksiltmesine fizikçiler İngilizce bir kelimeyle, ‘decay’ adını veriyor. Bu kelimeyi ‘çürüme’ diye çevirmek mümkün.

İşte bu ‘beta çürümesi’nde atomun içinden bildiğiniz elektron dışarı çıkıyor. Elektronlar belli bir enerji seviyesindeler ve dışarı çıktıklarında o enerjiyi doğrudan elektrik enerjisine çevirmek ve kullanmak mümkün.

Bu elektriği üretmek için kullanılacak bazı atomların izotopları bu elektron salma işini o kadar uzun süre yapıyorlar ki, bu yolla elde edeceğimiz enerji binlerce yıl kesintisiz gelebiliyor.

Böyle bir şeyin mümkün olduğunu 70’li yıllardan beri biliyoruz; zaten bazı alanlarda o elektriği kullanıyoruz da. Mesela bizde nedense ‘kalp pili’ denen ritm düzenleyiciler. Bu minik cihazlar temelde çok minik elektrik akımları vererek kalbin ritmini düzenler.

O elektriği kimyasal reaksiyonla elektrik üreten bir pilden (‘galvanik’ piller deniyor bildiğimiz her yerde kullandığımız pillere) almak da mümkün. Ama galvanik piller bitiyor veya yeniden şarj edilmesi ya da değiştirilmesi gerekiyor. E kalp pili de bir ameliyatla takılıyor, pil bitti diye ha bire ameliyat olmak istemezsiniz. İşte o yüzden bu çok ama çok uzun süreli enerji vaat eden yeni tip enerji kaynakları (onlara da ‘betavoltaik’ adı veriliyor) kalp pili için ideal.

‘Betavoltaik’lerin bir sorunu çok düşük enerji üretmeleri; yani yüksek voltajlara çıkmak kolay değil. Daha doğrusu yüksek voltaja çıkmak istediğinizde dev gibi bir ‘betavoltaik’ yapmalısınız, o zaman da anlamı kalmıyor. (Mesela büyük olasılıkla otomobillerimizin enerjisini hiçbir zaman betavoltaiklerden alamayacağız, çünkü o zaman koymamız gereken şey otomobilden büyük ve ağır olacak.)

Peki madem 70’li yıllardan beri bu teknolojiyi biliyoruz, neden 2020 yılında ben bunu yazıyorum?

Çünkü yeni bir aşama kat edildi betavoltaik üretiminde ve bu aşama sayesinde biraz daha fazla enerji elde edebiliyoruz ve uygulamayı kolayca ticarileştirebiliyoruz. Biri Britanya’da, birkaç tanesi de Amerika’da olmak üzere şirketler kuruldu bu yeni yönteme dayalı. Yöntem, ilk kez 2017 yılında Britanya’daki Bristol Üniversitesi’nden çıktı; onlar karbon-14 izotopunun kullanılarak yapay elmas üretilmesini ve elektriğin bu elmas yardımıyla çıkarılmasını önermişti.

Şimdi baktığınızda konu artık uluslararası bilim basınına yansıyacak kadar gelişmiş durumda. Bu hafta bir haber Wired dergisinde vardı (https://www.wired.com/story/are-radioactivediamond-batteries-a-cure-for-nuclear-waste/) bir başka haber ise ünlü web sitesi New Atlas’ta. (https://newatlas.com/energy/nano-diamond-battery-interview-ndb/)

Her iki haberde de sözü edilen şirketler, aslında bir çeşit nükleer atık olan karbon-14 üzerinde çalışıyor. Nükleer santralda çekirdekteki tepkimeyi kontrol etmek için grafit, yani karbondan çubuklar kullanılıyor. Bu çubuklar zaman içinde radyoaktif oluyor ve o yüzden nükleer atık muamelesi görüyor. Eğer bu betavoltaik uygulaması yaygınlaşırsa, nükleer atıklarımızın küçük de olsa bir bölümü de değerlendirilmiş olacak.

Bu ‘pil’ler, mesela karbon-14’ten yapılan, 2700 yıl boyunca enerji veriyor. Yazıyla yazayım: İki bin yediyüz yıl.

Düşük enerji harcayan cihazlarımız için ideal bir durumdan söz ediyoruz. İlk uygulama alanları olarak cep telefonları, lap-toplar, uzaydaki uydular, evlerimizdeki türlü çeşitli sensorler vs akla geliyor hemen.

Dünya sigarayı bıraktı ama akciğer kanseri yine de azalmadı

Korelasyon, birbirinden bağımsız iki farklı şeyin birlikte oluş sıklığına istatistik analizde verilen isim. Mesela otomobil kazalarının sayısındaki artışla -bir haftayı bulan, hatta geçen- dini veya milli bayram tatilleri arasında bir ilişki var. Tatil oluyor, insanlar arabalarına binip ...

Gözümüzle gördüğümüz, elimizle tuttuğumuz şeyin gerçek olduğundan emin olabilir miyiz?

Sağolsun, Alev Alatlı sayesinde ülkemizde “Schrödinger’in Kedisi” lafını duymayan kalmadı. Alev Alatlı’nın bu iki kitaplık serisi sayesinde çok sayıda insan “Schrödinger’in Kedisi” lafını biliyor ama sadece Türkiye’de değil dünyada da çok az sayıda insan bu önemli düşünce deneyinin tam olarak ...

Hayalet parçacık evrenin sırlarını saklıyor

Amerikalı yazar Paul Auster’in filmi de çekilen meşhur romanı ‘SmokeDuman’da şöyle bir kısa sahne vardır. New York Brooklyn’deki mahallenin bir nevi sosyal merkezi işlevini gören tütüncü dükkanında, dükkan sahibi ile müşterilerden biri, puronun dumanının ağırlığını nasıl hesaplayacakları ...