Blockchain birbirine güvenmeyen insanların güvenli, üzerinde oynanamayacak bir şekilde değerli verileri paylaşmasını sağlıyor. Sonuçta blockchain saldırganlar tarafından manipüle edilmesi bir hayli zor olan yenilikçi yazılım kurallarını kullanarak veri depoluyor. Ancak en iyi tasarlanmış blockchain sistemleri bile, olayların karmakarışık bir hal alabildiği gerçek dünyada becerikli hilekârlar olan insanlarla temas ettiğinde başarısızlığa uğrayabilir.

Bunun neden böyle olduğunu anlamak için ilkesel olarak blockchain’i neyin “güvenli” hale getirdiğiyle başlayalım. Bitcoin iyi bir örnek. Blockchain’de paylaşılan veri, o ana kadar yapılan tüm bitcoin işlemlerinin geçmişini gösteriyor, yani bir muhasebe defteri. Bu defterin birden fazla nüshası, “düğüm” adı verilen bir bilgisayar ağında saklanıyor. Birileri deftere bir işlem girdiğinde düğüm, bu işlemin geçerli olup olmadığını, yani bitcoin’i harcayan kişinin harcayacak bitcoin'i olup olmadığını denetliyor. Düğümlerin bir alt kümesi, geçerli işlemleri bir “blockchain”de paketlemek ve önceki zincirlere eklemek üzere rekabet ediyor. Bu düğümlerin sahiplerine madenciler deniyor. Zincire başarılı bir şekilde yeni bloklar ekleyen madenciler ödül olarak bitcoin kazanıyor.

Bu sistemi teorik olarak üzerinde oynanamaz kılan iki özellik var: Her bir bloka özgü olan kriptografik bir parmak izi ve ağdaki düğümlerin paylaşılan bir geçmiş üzerine uzlaşmalarını sağlayan bir süreç olan bir “konsensüs protokolü”.

Sağlama (hash) adı verilen parmak izi başlangıçta çok fazla bilgi işlem zamanı ve enerji gerektiriyor. Böylece bloku blockchain’e ekleyen madencinin, bitcoin ödülünü kazanmak için gereken hesaplama çalışmasını yaptığının bir kanıtı olarak iş görüyor. Bu nedenle bitcoin’in bir “işin ispatı" protokolü kullandığı söyleniyor. Bloku değiştirmek yeni bir sağlama üretmeyi gerektirdiğinden parmak izi aynı zamanda bir tür mühür işlevine de sahip. Sağlamanın ilgili blokla eşleşip eşlemediğini saptamaksa kolay ve düğümler bunu yaptıklarında, yeni bloku içerecek şekilde kendi blockchain nüshalarını güncellemiş oluyor. Buna da konsensüs protokolü deniyor.

Son güvenlik unsuruysa sağlamaların aynı zamanda blockchain’deki halkalar olarak iş görmesi: Her bir blok, bir önceki blokun kendine özgü sağlamasını içeriyor. Böylece geçmişe dönük olarak defterdeki bir kalemi değiştirmek isterseniz sadece blok için değil, önceki tüm bloklar için de yeni birer sağlama hesaplamanız gerekiyor. Bunu diğer düğümlerin zincire yeni bloklar ekleyebileceğinden daha hızlı yapmak zorundasınız. Dolayısıyla diğer tüm düğümlerin toplamından daha güçlü bilgisayarlarınız yoksa, eklediğiniz bloklar mevcut bloklarla çelişecek ve diğer düğümler otomatik olarak yaptığınız değişiklikleri reddedecektir. Blockchain’i kurcalanamaz ya da “değiştirilemez” yapan şey işte bu.

HİLE YAPMANIN YARATICI YOLLARI

Teoriden yeterince bahsettik. Bunu pratikte gerçekleştirmekse daha zor bir iş. Bir sistemin, çoğu kripto para sisteminde olduğu gibi bitcoin gibi işliyor olması onun aynı ölçüde güvenli olduğu anlamına gelmiyor. MIT’nin Dijital Para İnisiyatifi’nin yöneticisi Neha Narula, geliştiriciler test edilip onaylanmış kriptografik fik araçlar kullandığında bile bu araçları yanlışlıkla güvenli olmayan bir şekilde bir araya getirmek gayet kolay diyor. Bitcoin en uzun süredir var olan, dolayısıyla da güvenilirliği en fazla sınanmış kripto para.

Ancak insanlar da hile yapmanın yaratıcı yollarını buluyor. İşletim sistemleri üzerine yaptığı çalışmalarla ön planda olan Cornell Üniversitesi profesörlerinden Emin Gün Sirer ve üniversitedeki meslektaşları, blockchain’i çökertmenin yolu olduğunu gösterdi. Ayrıntıları biraz teknik, ancak öz itibarıyla “bencil bir madencinin” diğer düğümleri zaten çözülmüş olan kripto bulmacalar üzerinde zaman harcamaya sevk ederek haksız bir avantaj elde edebileceğini söylüyor.

Başka bir olasılık da “gölgede bırakma (edipse) saldırısı”. Blockchain’deki düğümler, verileri karşılaştırmak için sürekli iletişim halinde kalmak zorunda. Bir düğümün iletişiminin denetimini ele geçirmeyi başaran ve düğümü, ağın geri kalanından geliyormuş gibi görünen sahte verileri kabul etmeye ikna eden bir saldırgan, o düğümü kaynaklarını israf edecek veya sahte işlemleri onaylayacak şekilde kandırabilir.

Son olarak Sirer, “Blockchain protokolü her ne kadar müdahale edilemez gibi gözükse de sonuçta bir boşluk içinde bulunmuyor” diyor. Son dönemde manşetlere taşman kripto para korsanlıkları genellikle blockchain sistemlerinin gerçek dünyaya bağlandığı yerlerdeki bozukluklardan kaynaklandı.

Hacker’lar örneğin “sıcak cüzdanlara” (hot wallet), yani kripto parası olan herkesin bu parayı harcayabilmek için ihtiyaç duyduğu özel kriptografik anahtarların saklandığı internete bağlı uygulamalara sızabilir. Böylece çevrimiçi kripto para borsalarının sahip olduğu cüzdanlar başlıca hedef haline geldi. Pek çok borsa, kullanıcılarının parasının büyük kısmını “soğuk”, donanımsal cüzdanlarda (internete bağlı olmayan depolama aygıtları) tuttuklarını iddia ediyor. Ancak ocak ayında Japonya merkezli Coincheck borsasından 500 milyon dolar değerinde kripto paranın çalınması bunun her zaman böyle olmadığını gösterdi.

Belki de blockchain’le gerçek dünya arasındaki en karmaşık temas noktaları, işlemleri otomatik hale getirebilen belirli türlerdeki blockchain’lerde depolanan bilgisayar programları olan “akıllı sözleşmeler”. Hacker’lar 2016’da, yeni bir blockchain tabanlı yatırım fonu türü olan Decentralized Autonomous Organization’dan (DAO) o dönemde yaklaşık 80 milyon dolar değerinde olan 3,6 milyon ether çalmak üzere ethereum’un blockchain’inde yazılı olan bir akıllı sözleşmede beklenmedik bir ayak oyununa başvurdu.

DAO’nun kodu blockchain’de bulunduğundan ethereum topluluğu, parayı geri almak üzere tartışmaya yol açan “hard fork” adlı bir yazılım güncellemesi yapmak zorunda kaldı. Bu esas itibarıyla geçmişin, paranın çalınmadığı yeni bir versiyonunun yaratılmasıydı. Araştırmacılar halen akıllı sözleşmelerin teklememesini sağlayacak yöntemler geliştiriyor.

MERKEZİLEŞME MESELESİ

Sirer ve meslektaşlarının kısa bir süre önce yaptıkları çalışma, bitcoin’in ve ethereum’un düşündüğünüz kadar ademi merkeziyetçi olmadığını gösteriyor. Araştırmacılar en tepedeki dört bitcoin madenciliği işleminin sistemin haftalık ortalama madencilik kapasitesinin yüzde 53’ünden fazlasını teşkil ettiğini buldu. Benzer şekilde üç ethereum madencisi toplamın yüzde 6l’ini teşkil ediyor.

Alternatif konsensüs protokollerinin, örneğin madenciliğe dayanmayan protokollerin daha güvenli olabileceğini savunanlar da var. Ancak bu hipotez büyük ölçekte test edilmiş değil ve yeni protokollerin de kendi güvenlik sorunlarının olması muhtemel.

Başkalarıysa blok zincirlerinde, yazılımı indiren herkesin ağa katılabildiği bitcoin örneğinden farklı olarak katılmak için izin alma potansiyeli görüyor. Bu tür sistemler kripto paraların hiyerarşi karşıtı değerler sistemine tamamıyla ters, ancak bu yaklaşım, paylaşılan bir kriptografik veri tabanının avantajlarından istifade etmek isteyen mali kurumlara ve diğerlerine hitap ediyor.

Bununla birlikte izne dayalı sistemler de gündeme yeni sorular getiriyor: İzin verme yetkisine kim sahip olacak? Sistem, onaylayıcıların olduklarını söyledikleri kişi olmasını nasıl sağlayacak? İzne dayalı bir sistem, sahiplerinin kendilerini daha güvende hissetmesini sağlayabilir ama aslında yalnızca onlara daha fazla denetleme gücü kazandırır ki bu da diğer ağ katılımcıları kabul etse de etmese de değişiklik yapabilecekleri anlamına gelir.

Sonuç olarak “güvenli”, blockchain bağlanımda tanımlanması çok zor bir sözcük. (CAPİTAL TÜRKİYE DERGİSİ)