Büyük kripto borsası Bybit’in güvenlik araştırma ekibi, kullanıcı fonlarını teknik olarak dondurabilen veya kısıtlayabilen 16 blockchain ağı belirledi.
Bybit’in Lazarus Security Lab’i salı günü, birden fazla blockchain üzerindeki fon dondurma yeteneğinin etkisini inceleyen ve toplam 166 ağı analiz eden bir rapor yayımladı.
Yapay zeka destekli analiz ile manuel incelemeyi birleştiren Bybit güvenlik ekibi, Binance destekli BNB Chain gibi ağların fon dondurma işlevleriyle önceden kodlandığını (hardcoded) buldu.
Analistler ayrıca Cosmos zincirinin, “nispeten küçük protokol değişiklikleriyle” dondurma özelliğini potansiyel olarak devreye alabilecek 19 ağ arasında olduğunu bildirdi.
Üç temel fon dondurma mekanizması
Lazarus Security Lab, 16 blockchain ağı arasında, protokol düzeyinde fonları dondurmak için üç farklı mekanizma tespit etti.
Bu mekanizmalar arasında önceden kodlanmış (hardcoded) bir dondurma yöntemi veya genel kara liste, yapılandırma dosyasına dayalı bir dondurma yöntemi veya özel kara liste ve zincir üstü akıllı sözleşmeye dayalı bir dondurma yöntemi bulunuyor.
Rapora göre, fon dondurma yeteneğine sahip 16 blockchain’den 10’u, YAML, ENV veya TOML gibi yerel yapılandırma dosyaları aracılığıyla yönetilen yapılandırma tabanlı (config-based) dondurmayı kullanabiliyor. Bu dosyalar genellikle yalnızca doğrulayıcılar, vakıf ve çekirdek geliştiriciler tarafından erişilebilir durumda.
Yapılandırma tabanlı dondurma kategorisinde Bybit güvenlik ekibi, birinci katman blockchain’ler olan Aptos, Eos ve Sui’yi belirtti.
Kaynak kodlarına doğrudan gömülü dondurma yeteneklerine sahip beş blockchain arasında Bybit analistleri, BNB Chain, VeChain, Chiliz, Viction ve XinFin’in XDC Network’ünü tespit etti. Raporda, ağların GitHub depolarına atıfta bulunularak önceden kodlanmış dondurma özellikleri vurgulandı.
Huobi Eco Chain olarak da bilinen Heco zinciri, rapora göre kara listeyi zincir üstü bir akıllı sözleşme aracılığıyla yöneten tek blockchain.
Bybit’in güvenlik ekibi, potansiyel olarak fon dondurma mekanizmaları getirebilecek 19 blockchain’i ele alırken Cosmos ekosistemindeki modül hesaplarına özel dikkat gösterdi.
Normal kullanıcı hesaplarının aksine, modül hesapları özel anahtarlar yerine modül mantığı tarafından kontrol edilir ve bu da işlemlerin kısıtlanmasına olanak tanıyabilir.
Raporda şu ifadeler yer aldı:
“Bu işlev, teoride gelecekte bir siber saldırganın adresini ekleyecek şekilde değiştirilebilir, ancak şu ana kadar Cosmos ekosistemindeki hiçbir blockchain bunu bu şekilde kullanmadı.”
Rapora göre, “Böyle bir değişikliğin uygulanması, muhtemelen anteHandler dosyasında yapılacak küçük ayarlamalarla birlikte bir hard fork veya ek kod değişiklikleri gerektirir.”
Bybit araştırmacıları, bu mekanizmaların hırsızlık veya siber saldırıları önleme amacı taşısa bile, blockchain sistemlerinde sansür ve merkezi kontrol hakkında daha derin endişeler yarattığı konusunda uyardı.
Bulgular, daha fazla projenin acil durum kontrolleri, uyumluluk modülleri ve yönetici düzeyinde ayrıcalıkları entegre etmesiyle, “merkeziyetsiz” ağların pratikte gerçekten merkeziyetsiz kalıp kalmadığına dair büyüyen tartışmalara katkıda bulunuyor.
Rapor, Bybit’in kripto endüstrisinin şimdiye kadar gördüğü en büyük güvenlik olaylarından biri olan 1,5 milyar dolarlık soğuk cüzdan siber saldırısından birkaç ay sonra geldi. Circle, Tether, THORchain ve Bitget gibi ortakların koordineli çabalarıyla topluluk, kötüye kullanılan fonların 42,9 milyon dolarını dondurmayı başardı ve mETH Protocol, yaklaşık 43 milyon dolar değerinde cmETH tokenini kurtardı.