12.7 bin adet BTC mi el konuldu? Güvenliğin arkasındaki rastgelelik hayat çizgisi

2025 yılının 14 Ekim'inde, New York Brooklyn Federal Mahkemesi bir iddianameyi serbest bıraktı ve ABD Adalet Bakanlığı'nın son zamanlarda tarihin en büyük ölçekli şifreleme varlıkları el koyma eylemini gerçekleştirdiğini, yaklaşık 127.000 Bitcoin'i, 150 milyar doların üzerinde bir değerde el koyduğunu gösterdi.

Ama daha çarpıcı detay, ABD uygulama makamlarının özel anahtara ulaşmasının sistemin kırılması veya hacklenmesi yoluyla değil, korkunç bir gerçeği keşfetmesiyle olmasıdır - bu özel anahtarlar oluşturulduğunda, başlangıçta “rastgele” değildi.

Denilebilir ki, özel anahtar hatasından kaynaklanan bu milyar dolarlık fırtına, sektörün odak noktasını makro anlatımdan anında cüzdan güvenliğinin en alt düzey teknik detaylarına: rastgeleliğe geri çekti.

12.7 bin adet Bitcoin'in “çalıntı” romanı

Ayrıntılı incelendiğinde, yaklaşık 127271 adet Bitcoin (değeri yaklaşık 15 milyar dolar) ile ilgili bu büyük dava, aslında “madencilik havuzu hırsızlığı” ile bağlantılı bir Roshomon.

Tüm olayda iki anahtar kelime var: domuz katliamı ve Lubian madencilik havuzu.

Her şeyin kökeni, karmaşık bir yasadışı kazanç aklama zinciri ile ilgilidir; yani Kamboçya'daki bir dolandırıcılık çetesi, dolandırıcılıkla elde edilen gelirleri, yüzeyde yasal ve kendi kontrolündeki kripto madencilik işletmesi Lubian havuzuna yönlendirmektedir. Madencilik tesisi durmaksızın yeni Bitcoin üretmektedir; aslında suç lekesi taşıyan kara para, yeni çıkarılan “temiz” BTC'ye dönüştürülerek tamamen aklanmaktadır.

İlginç olan, Lubian'ın 2020 yılında dünya çapında en büyük madencilik havuzlarından biri olmasıydı. Pik hesaplama gücü ile Bitcoin ağının toplam hash oranının neredeyse %6'sını kontrol ediyordu. İşte böyle yüksek profilli bir Bitcoin madencilik varlığı, tüm yasadışı kara para aklama ağının ana merkezi haline geldi.

Kaynak: Arkham

Ancak ilginç bir şekilde, LuBian 2020 yılının Aralık ayında aniden 127,426 adet Bitcoin'in çalındığı iddia edildi.

Neden şüpheli diyoruz? Çünkü LuBian ve hackerlar bu siber saldırıyı kamuya açık bir şekilde kabul etmediler, sadece blok zinciri istihbarat platformu Arkham bu durumu ilk kez açıkladı ve Lubian saldırıdan kısa bir süre sonra ortadan kayboldu, 2021'in Şubat ayında madencilik havuzu işini aniden kapattı.

Bu nedenle, dışarıda sürekli olarak dış bir hackerın kara parayı çaldığı mı yoksa dolandırıcılık yapan kişinin kendi kendine sahneye koyarak çalıntı parayı madencilik havuzundan çıkardığı ve “çalıntı” izlenimi yaratmaya çalıştığı spekülasyonları yapıldı. Her durumda, bu değerli Bitcoin'ler üç yıldan fazla bir süre boyunca zincirde sessiz kaldı ve bir gizem haline geldi.

2024 yılına kadar, yaklaşık 127.000 BTC aniden büyük ölçekli bir merkezi transfer ve toplama işlemi gerçekleştirdi ve bu adresler, 2020 yılında Lubian'ın “ç盗” edilen fonlarının gittiği yerle karşılaştırıldığında, zaman noktası son derece hassas — tam olarak Amerika, Kamboçya ve Güneydoğu Asya'nın birçok ülkesinin kolluk kuvvetlerinin ortak bir operasyon yapmadan önceki gün gerçekleşti.

Ve ABD Adalet Bakanlığı'nın sivil mülkiyet el koyma davası belgelerinde listelenen 25 cüzdan adresinin, gerçekten de Lubian madencilik havuzundaki hırsızlık olayıyla yüksek oranda örtüşen hacker adresleriyle eşleştiği belirtiliyor. Başka bir deyişle, ABD hükümeti bu BTC'lerin hackerlar tarafından çalınmadığını, aksine dolandırıcılık çetesi ve ortaklarının Lubian aracılığıyla akladıkları gelirler olduğunu belirtiyor.

Kaynak: Milk Sad

Elbette gerçek muamma, bu dolandırıcılık çetesi'nin gerçek kontrolörlerinin teorik olarak henüz yakalanmamış olmalarıdır; ancak Amerikan hükümeti ilgili özel anahtarı ele geçirmiştir. Cobo'nun kurucu ortağı Shen Yu, kolluk kuvvetlerinin özel anahtarı şiddet yoluyla kırarak veya saldırarak elde etmediğini, bunun yerine Lubian'ın operasyon sürecinde ciddi kusurlara sahip sahte rastgele algoritmalar kullandığını ve bunun sonucunda Lubian cüzdanının ürettiği özel anahtarların tahmin edilebilir hale geldiğini düşünüyor.

Kısacası, bu yüksek değerli varlığın “el konulması”, özel anahtarın rastgele sayıdaki bir açığın sebebidir ve Bitcoin'in temel mekanizmasındaki bir sorun değildir.

Rastgelelik: Kripto Varlıklar güvenliğinin ardındaki sayısal düzen

Peki rastgelelik nedir?

Blockchain dünyasında, özel anahtar esasen 256 bitlik bir ikili sayıdır, bu sayı neredeyse soyut bir büyüklüktedir——teorik büyüklüğü 2'nin 256. kuvvetidir, evrendeki atom sayısını çok aşar, bu nedenle, özel anahtarın kaba kuvvetle kırılma olasılığı teorik olarak sıfıra yaklaşır:

Rastgelelik, anahtar, tohum veya hatırlatma kelimeleri gibi devasa bir sayının “tahmin edilemezliği” anlamına gelir; başka bir deyişle, güvenli bir özel anahtar, tamamen rastgele bir şekilde üretilmelidir. Yani, 2'nin 256. kuvvetindeki olasılıklar arasından gerçekten rastgele ve eşit olarak bir tanesi seçilmelidir.

Eğer bu çıkarım süreci tamamen rastgele ise, saldırganların özel anahtarınıza çarpmak için sıralama, tahmin etme veya tekrar üretim yoluyla çalışması neredeyse imkansızdır, ancak sorun şudur ki, rastgelelik yetersiz olduğunda, tahmin edilebilirlik önemli ölçüde artar, kaba kuvvet kırma aralığı küçülür ve bu da özel anahtarın tahmin edilmesini kolaylaştırır.

Örneğin, özel anahtarın oluşturulmasında kullanılan rastgele kaynak (yani tohum) çok zayıfsa, tahmin edilebilir bir kaynaktan (örneğin zaman damgası, sabit donanım sayacı, kolayca tahmin edilebilen değişkenler) geliyorsa, oluşturulan özel anahtarın aralığı tahmin edilebilir, sayılabilir çok küçük bir kümeye daralır - bazı ana akım cüzdanların, erken sürümlerinde iOS sürümünde kullanılan bir kütüphane, üretim ortamında yalnızca zaman damgasına dayanarak başlangıç entropisi oluşturması nedeniyle bazı cüzdanların özel anahtarlarının kolayca kaba kuvvet aramasıyla geri kazanılmasına neden olduğu ortaya çıkmıştır.

Aslında zayıf rastgele sayılardan kaynaklanan şifreleme varlık kayıpları, yeni bir durum değil. 2015 yılında, Blockchain Bandit adlı hacker grubu, hatalı rastgele sayı üreteçleri ve kod açıklarını kullanarak, zayıf güvenlikteki özel anahtarları sistematik bir şekilde aradı ve 700 binden fazla zayıf cüzdan adresini tespit ederek, bunlardan 50.000'den fazla ETH çaldı.

Milk Sad araştırmasına göre, 256 bit aralığındaki cüzdan geçmişine kapsamlı bir şekilde bakıldığında, gerçekten şaşırtıcı bir manzarayla karşılaşılıyor - 2020 yılı 11 Eylül'deki tarihsel zirvede, bu aralıktaki zayıf rastgelelik cüzdanlarında tutulan Bitcoin toplam miktarı 53.500 BTC'yi aşmıştı!

Daha da tuhaf olanı, açıkça bilinen zayıf adreslere hâlâ bazı kişilerin para transfer etmeye devam etmesidir…

Genel olarak, bu tür kazalar Bitcoin protokolünün kendisinin zayıflığı değil, uygulama katmanının (cüzdanlar, madencilik havuzları, anahtar yönetim sistemleri) özel anahtarları oluştururken kriptografik seviye entropi gereksinimlerine uymaması veya test kodunu üretim ortamına hatalı bir şekilde taşımaları nedeniyle, aslında tükenmez olan kasayı araştırılabilir bir hedef haline getirmesidir.

Güvenlik Savunmasını Nasıl Güçlendiririz?

Yukarıda belirtildiği gibi, cüzdanlar için güvenliğin anahtarı “sahte rastgelelik” olup, imToken gibi banka seviyesindeki güvenlik ile aynı şifreleme seviyesinde rastgele algoritmalar kullanıldığında, tahmin edilemez, yeniden üretilemez ve geri alınamaz hale geldiğinde güvende olabilirsiniz.

Özellikle, imToken'un özel anahtar oluşturma mantığı 2018 Ekim'den beri tamamen açık kaynaklıdır (TokenCore kod deposu) ve Android ve iOS sistemlerinde, doğrudan işletim sistemi alt yapısında sağlanan güvenli rastgele sayı üreteçlerini kullanmaktadır.

iOS örneğini kullanarak, sistem entropisi (entropy), belirli bir zaman diliminde sistem çekirdek olaylarının istatistiksel verilerinden kaynaklanır; bu veriler arasında dokunmatik girişler, CPU kesmeleri, saat titremesi, sensör gürültüsü gibi unsurlar bulunur—bu parametreler her milisaniyede farklıdır, hatta sistemin kendisi bile bunları yeniden üretemez.

Bu nedenle, imToken tarafından üretilen özel anahtarlar “öngörülemez, tekrar üretilemez, tersine mühendislik yapılamaz” özelliklere sahiptir ve entropi kaynağı seviyesinde sahte rastgelelik riskini ortadan kaldırır, bu da imToken kullanıcılarının Lubian olayları gibi güvenlik açıklarından etkilenmeme nedeninin temelidir.

Elbette, teknik güvenlik sadece bir temel, güvenlik risklerini daha iyi anlamak ve önlemek için aşağıdaki noktalar da son derece önemlidir:

1. Zaman ve topluluk tarafından doğrulanmış, açık kaynaklı ve denetimden geçmiş, yönetilmeyen cüzdanları (örneğin imToken) öncelikli olarak kullanın, şartlı kullanıcılar donanım cüzdanlarını (örneğin imKey) öncelikli olarak kullanmalıdır, özel anahtarların üretilmesini ve ağ risklerini daha da izole etmelidir.

Örneğin, imKey donanım cüzdanı için rastgelelik güvenliği bir adım daha ileriye gidiyor - özel anahtar, güvenlik çipinin içindeki fiziksel gerçek rastgele sayı üreteci (True Random Number Generator, TRNG) tarafından doğrudan üretiliyor. Kullanılan Infineon SLE 78CLUFX5000PH güvenlik çipi (SLE78 serisi), Almanya BSI AIS 31 PTG.2 seviye sertifikasını geçmiştir. Bu standart, fiziksel entropi kaynakları için en yüksek seviye güvenlik değerlendirmesidir ve rastgele kaynağın istatistiksel testlerden, entropi modellemesinden ve çevrimiçi sağlık denetiminden geçmesini gerektirir. Bu, kriptografik anahtar üretiminde kullanılan rastgelelik kalitesini sağlamaktadır.

Başka bir deyişle, imKey'in özel anahtarı güvenli chip içinde üretilir, saklanır ve asla chip sınırını geçmez, rastgele kaynağı fiziksel gürültüye dayanır, herhangi bir yazılıma veya harici bir tohuma bağımlı değildir, bu da demektir ki saldırgan cihaz sistemini tamamen kontrol etse bile, özel anahtarını tahmin edemez veya yeniden üretemez. 2. Ayrıca, kurtarma ifadesini ve özel anahtarı ekran görüntüsü olarak almayın, kopyalamayın veya bulut depolama veya sohbet kayıtlarında saklamayın, kurtarma ifadenizi veya özel anahtarınızı asla kimseye açıklamayın; ayrıca kurtarma ifadesini el yazısıyla yazmanızı ve güvenli bir çevrimdışı yerde saklamanızı öneririz, paslanmaz çelik kurtarma ifade panoları kullanarak nem, ateş ve korozyona karşı koruma sağlayabilirsiniz ve en az 2-3 güvenli yerde çoklu yedekleme yapmanız önerilir. 3. Son olarak, oltalama ve kötü niyetli eklentilere karşı dikkatli olun, kamu anahtarı açık olabilir, ancak cüzdana erişim veya imzalama sırasında bağlantıyı mutlaka doğrulayın, bilinmeyen kaynaklardan eklenti veya uygulama yüklemekten kaçının.

Sonuç

Objektif olarak, gösterişli Crypto dünyasında her büyük güvenlik olayı, pahalı bir kamu eğitim dersi niteliğindedir.

Hatta Web3 güvenliğinin kendisinin zamanla yarışan ve olasılıklarla oynayan uzun bir savaş olduğunu söyleyebiliriz, riskleri tamamen ortadan kaldırmamız asla mümkün değildir.

Ama herkes güvenlik sınırlarını sürekli ileriye taşıyabilir - her bir kod satırı, her bir rastgele sayı, her bir kullanıcının güvenlik alışkanlığı, bu savaşta vazgeçilmez bir savunma hattıdır.