Parity Wallet Çoklu İmza Açığı – 150 Milyon Dolarlık Ethereum’un Donması

Kripto dünyasında “hack” kelimesi genellikle fonların çalınmasıyla anılır. Ancak 2017’de yaşanan Parity Wallet çoklu imza açığı, bambaşka bir felaketi gündeme getirdi: Çalınmayan ama geri de alınamayan devasa miktarda kripto para.

İlginizi Çekebilir: Helix Darknet Bitcoin Yıkama Operasyonu

Parity Technologies, Ethereum ekosisteminde yaygın olarak kullanılan bir cüzdan ve altyapı sağlayıcısıydı. Özellikle çoklu imza (multi-sig) özelliği, güvenliği artırmak için tasarlanmıştı. Çoklu imza cüzdanlarında, bir işlemin onaylanması için birden fazla özel anahtar gerekir. Bu, kurumsal yatırımcılar ve büyük fon yöneticileri için idealdi. Ancak tüm güvenlik sistemleri gibi, bu da doğru uygulanmadığında büyük risk taşıyordu.

Olay 6 Kasım 2017’de patlak verdi. Bir kullanıcı, Parity’nin akıllı sözleşme kodunda bir güvenlik açığı keşfetti. Bu kişi, geliştirici olmayan sıradan bir kullanıcıydı ve aslında kötü niyetli değildi. Ancak yaptığı bir işlem, Parity’nin çoklu imza kütüphanesinin (library contract) sahipliğini devralmasına neden oldu. Bu noktadan sonra kullanıcı, kimsenin yapmaması gereken bir şeyi yaptı: “self-destruct” komutunu çalıştırdı.

Ethereum akıllı sözleşmelerinde “self-destruct”, sözleşmenin blockchain’den tamamen silinmesini sağlar. Ancak Parity’nin cüzdan altyapısı, tüm çoklu imza cüzdanlarının bu tek kütüphaneye bağlı olması üzerine kurulmuştu. Yani bu komut çalıştırıldığında, o kütüphaneye bağlı tüm cüzdanlar çalışamaz hale geldi.

Sonuç: Yaklaşık 513 cüzdanda bulunan 150 milyon dolar değerindeki Ethereum tamamen erişilemez hale geldi. Bu ETH’ler çalınmadı, başka bir adrese taşınmadı. Sadece… orada kaldı. Ve hiçbir işlem yapılamaz hale geldi.

Bu durum, kripto dünyasında “frozen funds” (donmuş fonlar) teriminin en bilinen örneği oldu. Kullanıcılar paralarını kaybetmişti ama teknik olarak blockchain üzerinde hâlâ duruyordu. Yalnızca kod seviyesinde erişim kilitlenmişti.

Olay sonrası kripto topluluğu ikiye bölündü. Bir grup, bu fonların kurtarılması için Ethereum protokolüne özel bir hard fork yapılmasını savundu. Diğer grup ise “kod kanundur” ilkesine bağlı kalınması gerektiğini, geri dönüşün blockchain’in değiştirilemezlik felsefesine zarar vereceğini söyledi. Bu tartışma, 2016’daki The DAO olayında yaşanan hard fork krizini hatırlatıyordu.

Ethereum çekirdek geliştiricileri, Parity olayı için özel bir kurtarma operasyonu yapmamaya karar verdi. Bu, yüz milyonlarca doların kalıcı olarak kilitli kalması anlamına geliyordu. Parity Technologies ise olayın tamamen kod hatasından kaynaklandığını kabul etti ancak sorumluluğu topluluğun kararıyla sınırlı tuttu.

Bu olay, akıllı sözleşmelerin ne kadar güçlü ama aynı zamanda ne kadar kırılgan olabileceğini gözler önüne serdi. Blockchain üzerinde çalışan kodlar bir kez dağıtıldığında değiştirilemez. Bu durum, güvenlik testlerinin ve kod denetimlerinin önemini kat kat artırdı.

Parity olayının yankıları yıllarca sürdü. Donmuş fonlar, hâlâ Ethereum blok zincirinde duruyor ve değeri zamanla milyarlarca dolara ulaştı. Ancak onları açmanın tek yolu, topluluk tarafından kabul edilecek bir zincir değişikliği — ki bu, siyasi ve felsefi açıdan çok büyük bir adım olurdu.

Bugün bile Parity olayı, “en güvenli” kabul edilen sistemlerin bile tek bir hata ile tamamen işlevsiz kalabileceğini kanıtlayan ders niteliğinde bir vaka olarak anlatılıyor. Bu olay, kripto geliştiricileri için her satır kodun hayati öneme sahip olduğunun unutulmaması gerektiğini hatırlatıyor.