Elif Kaya
Elif Kaya
Feb 12 · 5 min read

Bir zamanlar Kanada’nın en büyük ve en popüler Bitcoin odaklı borsası olan QuadrigaCX, 2018 Aralık’tan beri milyon dolarlarca fonunun ulaşılamaması ile karşı karşıya.

NewsBTC’nin[1] haberine göre, geçen yıl platformun 28 milyon dolarlık fonu dondu ve yüzlerce müşterisi yarı yolda ve parasız kaldı. Ardından, 2019’un başlarında, borsanın kurucusu Gerald Cotten’ın karısı Jennifer Robertson, 30 yaşındaki eşinin Hindistan’da öldüğünü iddia etti.Yasal belgeler ve basın açıklamasına göre, Cotten’ın ölümü ile QuadrigaCX’in çalışanları; 26,500 BTC, 11,000 Bitcoin Cash, 11,000 Bitcoin SV, 35,000 Bitcoin Gold, 200,000 Litecoin ve 430,000 Ethereum’a doğrudan erişimini kaybetti. Tüm bu kripto paranın toplamı 150 milyon Amerikan Dolarına denk geliyor.

Öte yandan önde gelen bir kripto araştırmacısı, bu borsanın hiçbir zaman bu hacimde bir fon havuzuna sahip olmadığını iddia etti. CryptoMedication, detaylı bir Blockchain analiziyle, QuadrigaCX’in tanımlı bir soğuk cüzdanı olmadığını, elinde tuttuğu Bitcoin’lere erişimini hiç kaybetmediğini ve üstelik ifade edilen miktarda Bitcoin miktarının aslında doğru olmadığını belirtti.[2]

Her ne kadar bu skandalın yalan olma ihtimali bulunsa da kullanıcıların kendi dijital varlıklarını güvenli bir şekilde saklama sorumluluğunu alıp almamaları sorusu bir kez daha gün yüzüne çıkmış oldu.

Bitcoin ve diğer kripto varlıklar, tüm dünyaya büyük bir özgürlük veriyor. Fakat tabii ki böyle bir özgürlük, yanında sorumluluk da getiriyor — en önemlisi şu ki mal varlığınız olan kripto paralara dair gizli anahtarınızı sadece ve sadece siz bilmelisiniz.

Kripto terminolojisine aşina olmayan kişiler için “gizli anahtar” sözcüğü bile korkutucu gelebilir. Neyse ki kripto para borsaları, teknik bilgisi olmayan kullanıcılar için de kripto para dünyasına giriş imkanı sağlıyor. Bu nedenle çok sayıda insan, gizli anahtarı kaybetmesi halinde tamamen kontrolünü kaybedecekleri kişisel cüzdanlar yerine bu borsa sitelerini kullanıyor. Bu durumda borsa siteleri kulağa çok daha güvenli geliyor, değil mi?

Bildiğimiz kadarıyla QuadrigaCX örneği, bir borsanın kendi soğuk cüzdanlarına erişimini kaybetmesi ile ilgili ilk vaka. Borsaların hacklenmesine ise çok daha yaygın bir şekilde rastlanıyor — siber güvenlik şirketi Carbon Black’e göre 2018’in ilk yarısında aşağı yukarı 1.1 milyar dolar değerinde kripto para çalındı.[3] Günümüze en yakın örnekler arasında ise Güney Kore’den Coinrail[4] ve Japonya’dan Zaif[5] yer almaktadır.

Bazı Çözümler

Örneğin bazı kullanıcılar, dijital varlıklarının bir kısmını çevrimdışı, daha iyi bilinen adıyla soğuk cüzdanda tutmayı tercih ederler, fakat aslına bakarsanız soğuk cüzdan biraz kullanım zorluğunu yanında getirmektedir.

Bu da başka bir tek hata noktası (single point of failure — SPOF) sistemidir: Varlıklar üzerindeki tüm kontrol bir sunucuya veya bir kişiye bırakıldığında, bu tek kişi veya sunucu hacklenirse veya QuadrigaCX durumunda olduğu gibi bu tek kişi ölürse, bu varlıkları tamamen ve geri alınamaz bir şekilde kaybedersiniz. Bir devrenin tasarımında, uygulamasında veya konfigürasyonunda oluşacak bir hata veya arızanın, tüm sistemin çalışmayı durdurmasına neden olabileceği riskini taşıyan sistemlere SPOF denir.

Bu konuya Çoklu İmza olarak adlandırılan bir çözüm getirilmiştir, ancak bu çözüm de belirli açılardan eksiklikler taşır. Eşik Değerli İmza adlı yeni şemamız hakkında konuşmadan önce bundan kısaca bahsedeceğiz.

Çoklu İmza şeması, sahip olunan bitcoin üzerindeki sorumluluğu bölmek üzere bir Bitcoin işlemini yetkilendirmek için birden fazla anahtar gerektirmek anlamına gelir.[6]

Bitcoin’de Çoklu İmza şöyle çalışır: Bir Çoklu İmza adresi oluşturursunuz ve oluşturma aşamasında, o adresle ilgili anahtarları ve bir transferi onaylamak için kaç tanesinin gerekli olduğunu belirlersiniz.

CryptoMedication, detaylı bir Blockchain analiziyle, QuadrigaCX’in tanımlı bir soğuk cüzdanı olmadığını, elinde tuttuğu Bitcoin’lere erişimini hiç kaybetmediğini ve üstelik ifade edilen miktarda Bitcoin miktarının aslında doğru olmadığını belirtti.

Bu gayet güzel bir sistem, fakat bazı kısıtlamaları var.

Bunların ilki gizlilik: Bu mekanizma, imzalayan her kişinin kimliğini gösterir ve daha fazla anonimliğe ihtiyaç duyan firmalar için bu bir dezavantajdır.

İkincisi, kaç tane imzacının kullanılacağı hakkında bir limit olması. Buna ek olarak güvenlik politikası, Çoklu İmza adresi ilk oluşturulduğunda tayin edilir. Bu nedenle, bir zaman sonra fikrinizi değiştirip “Şimdi 3’ün 2’lisi yerine 6’nın 5’lisini istiyorum.” diyemezsiniz çünkü bunun için yeni güvenlik politikası ile yeni bir Çoklu İmza adresi oluşturmanız ve tüm bakiyenizi ona aktarmanız gerekir.

Çoklu İmza şeması, birden fazla tarafın, transferleri imzalayacağı kendine ait anahtara sahip olması üzerine kurulur. Böylece bir transferi doğrulayacak taraf, her imzayı ayrı ayrı kontrol etmek zorundadır.

Daha İyi Bir Çözüm: Eşik Değerli İmza (Threshold Signature Scheme)

Eşik Değerli İmza mekanizması biraz farklıdır çünkü Eşik Değerli İmza’da sadece bir açık anahtar, bir gizli anahtar ve yalnızca bir adet imza vardır. Her kullanıcı aynı açık anahtara ve gizli anahtarın özgün bir parçasına sahip olur.

Eşik Değerli İmza şeması ile, imza yetkisini n kişi arasında bölersiniz ve t eşik değeri için herhangi t+1 kişi bir araya gelerek bir transferi imzalayabilir fakat t ve daha azı bu işi yapamaz. Örneğin, eşik değeri 4 olan 8 kişilik bir grup varsa, 5 kişi bir araya gelip transferi imzalayabilir ve kripto paranız cüzdan adresinize gönderilir. Üstelik kripto para tranferi üzerinde kötü niyetli bir işlem yapmak isteyen saldırgan, bu 8 kişinin en az 5’ini ele geçirmelidir.

İmzalayan kullanıcılar, imza üretmek için gizli anahtar parçalarını açığa çıkarmayan özel bir iletişim protokolü ile konuşur ve sadece bir imza ortaya çıkar. Yani transferin geçerli olup olmadığını doğrulayacak tarafın yalnızca bir imzayı kontrol etmesi yeterlidir.

Eşik Değerli İmza, aynı zamanda daha esnektir. Her şeyden önce, imzacıların sayısı ile ilgili hiçbir sınır bulunmaz. İkinci olarak da, güvenlik politikasını bir süre sonra dilediğinizce değiştirmekte özgür olursunuz.[7]

Eşik Değerli İmza şeması ile, imza yetkisini n kişi arasında bölersiniz ve t eşik değeri için herhangi t+1 kişi bir araya gelerek bir transferi imzalayabilir fakat t ve daha azı bu işi yapamaz.

QuadrigaCX olayını düşünecek olursak, eğer eşik değerli imza şeması kullanıyor olsalardı ve kripto varlıkların güvenliği yalnızca bir kişinin kontrolünde olmasaydı (tek hata noktası) yaklaşık 150 milyon Amerikan doları bugün kayıp olmayacaktı.

Göz önünde tutmanız gereken tek şey şu olabilir: Bu mekanizma, herkes için çok bilindik değildir ve gerekli cihazlar bulunmamaktadır. Fakat Türkiye’de ilk defa Bitmatrix, kendi güvenli kripto varlık borsası ve soğuk cüzdan çözümü ile bu sorunu çözdü.

Eşik Değerli İmza teknolojisi ile Bitmatrix, sistemin dayanıklılığını artırırken Blockchain’in dağıtık yapısını korumayı başardı. Umarız bu yeni ve güvenli alım satım deneyiminden memnun kalırsınız. Pratik ve akılcı ürün ve projeler üzerine yapılan AR-GE çalışmaları sayesinde Bitmatrix’i endüstrinin en gelişmiş kripto varlık platformu haline getirme yolunda bu daha başlangıç.

Bu yazının orijinali için tıklayın.

Bitmatrix

Bitmatrix serves as a crypto asset trading platform and is designed based on international best practices and equipped with bank level security.

Elif Kaya

Written by

Elif Kaya

Attivo Blockchain Researcher

Bitmatrix

Bitmatrix

Bitmatrix serves as a crypto asset trading platform and is designed based on international best practices and equipped with bank level security.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade