Artan Siber Saldırılar Web3.0’ın Güvenilirliğine Şüphe Düşürüyor

Web3 (ya da 3.0) ile sunulan vaatler internetin bize sağladığı her şeyi kullanmanın yanı sıra daha gelişmiş gizlilik ve blokzinciri tabanlı bir mimari ekseninde ileri veri güvenliği sağlanmasını içeriyor. Aslına bakılırsa bu bir teori olarak belirirken, son zamanlarda yaşanan siber saldırılar ile beraber kullanıcılar, kişisel verilerini (Facebook’un önceki yıllardaki veri ihlal hamlelerine atıfla) Mark Zuckerberg’e teslim edip günü sonlandırmanın daha iyi olup olmayacağını düşünmeye başladı.

En son güvenlik faciası, Web3’ün özelliklerini yansıtması beklenen Axie Infinity isimli bir tür kazanç oyunu üzerinden yaşandı. Bir siber saldırgan Axie ile Ethereum blokzinciri arasındaki Ronin köprüsüne sızarak 552 milyon dolarlık devasa bir vurgun gerçekleştirdi (Ethereum‘un son günlerdeki artan değeri ile bu miktar şu anda 600 milyon doların üzerinde).

Saldırının nasıl gerçekleştiği konusu ise çok daha sarsıcı detaylar içeriyor. Analistler, Axie’i geliştiren ekibin köprüyü sadece dokuz doğrulayıcı kullanarak kurduğunu belirtiyor. Kısaca, siber saldırgan sadece beş hesaba müdahale ederek krallığa adım atmayı başardı. Üstelik durumun fark edilmesi de oldukça uzun sürdü, Axie ekibinin 630 milyon doların kaybolduğunu fark etmesi için altı gün geçmesi gerekti.

Eğer bir Web2 şirketi veya bir banka aynı hatayı yapmış olsaydı işlerini kaybetmekle kalmaz yasal suçlamalar ile karşı karşıya kalırdı. Axie ekibi Twitter üzerinden saldırı hakkında sadece geçiştirici olarak yorumlanabilen ifadeler kullanmayı tercih ederken, analistlere göre bu tavır “bilişim güvenliği hakkında en sorumsuz olan kişilerin kripto para projeleri inşa edenler olduğuna’ dair kanıyı güçlendirdi.

Axie sadece bir örnek. Zira iki ay önce, siber korsanlar Solana blokzincirinin köprüsü Wormhole’u soydu ve 320 milyon dolara el koydu. Her ne kadar Wormhole arkasındaki yatırımcılar zararları karşılamaya çalışsa da, mühendis ekibi sadece omuz silkmekle yetindi. Bir hafta önce Solana stablecoin protokolü Cashio‘dan 28 milyon dolar sızdırılırken, geçtiğimiz Ağustos’ta Poly Network 600 milyon doların üzerinde soyguna maruz kaldı.

Çok sayıda güvenlik ‘kusuru’ mevcut

Platformun birçok güvenlik kusuruna sahip olmasından dolayı Web3 kullanıcılarının maruz kaldığı başka soygunlar da mevcut. Yetmezmiş gibi aralarında Circle ve BlockFi’ın da olduğu ondan fazla Web3 şirketi geçtiğimiz ay Web2 tarzı bir saldırıya maruz kaldı. Siber korsanlar pazarlama şirketlerinden birini hedef alarak çok sayıda müşteri bilgisi ele geçirdi ve çok sayıda oltalama ve diğer dolandırıcılık eylemleri düzenledi.

Web3, bu noktada Web2’in en kötü güvenlik hatalarına imza atıyor ve dahası kimse sorumluluk almıyor. Büyük teknoloji şirketleri verilerini korumak için özelleşmiş ekipler kurarken, bankalar siber saldırılar sonucunda tazminat sunuyor. Web3 ise boş kripto paralar üzerinden servet elde ederken kendi sistemlerindeki hırsızlara karşı bir adım atmıyor…

Altına hücum gibi yapılan yatırımlar, kripto paraların neden ilk başta yükselmesini sağlayan değerleri boşa sayıyor. Bunlar güvenli bir mimari inşa etmek ve Ethereum kurucusu Vitalik Buterin’in “blokzinciri üçlemesini” içeriyor. Bu not, merkezileştirme, ölçekleme ve güvenlik unsurlarından ikisini elde etmenin kolay olduğuna değiniyor. Ancak her üçünü değil. Vitalik, Ocak ayında yaptığı uyarıda Web3’teki köprülerin Bitcoin veya Ethereum’daki güvenlik mimarisi kadar güvenli olmadığını kaydederek açıkça uyarmıştı.

Bitcoin’e değinirken, bu kripto parada aşırılığa kaçanlardan ders almak gerek. Her ne kadar düşündürüyor olsalar da, Bitcoin blokzinciri kadar sınanmış ve güvenli bir mimari olmadığını unutmamakta yarar var.
Uzmanlara göre Web3 kurucuları kısa zamanda kar peşinde koşmak yerine zamanlarını güvenlik mimarisi kurmakla harcamalılar. Aksi takdirde geleceğin internet dünyası olarak anılmaya başlanan Web3 güvenilirliğini büyük bir hızla kaybedebilir.