Haberler 
Coin Bilgisi 
Hakkımızda 
라이트코in(LTC) geliştirici ekibi, ‘Mimblewimble Extension Block(MWEB)’ yapısında kritik bir *doğrulama hatası* bulunduğunu resmen kabul etti. Bu açık, bir saldırganın 85.034,47285734 LTC büyüklüğünde *sahte pegout* üretmesine izin verdi. Ardından gelen acil müdahale ile fonlar geri alınarak defterde oluşan uyumsuzluk giderildi. 13’ünde (yerel saatle), geliştirici David Burkett(David Burkett) tarafından yayımlanan ayrıntılı rapora göre, aynı hata nisan ayında da yeniden istismar edilmeye çalışıldı ve güncellenmiş madenci düğümlerinde sorun yaratarak 13 blokluk *geçersiz bir zincirin* yeniden düzenlenmesine yol açtı.
Rapor, sorunun özünde blokların zincire bağlandığı aşamada MWEB girdi verileri ile gerçek UTXO metadatası arasında *tutarlılık kontrolü* yapılmamasının yattığını belirtiyor. Normal koşullarda, bellek havuzu ve blok üretim sürecinde bu kontroller çalışıyordu. Ancak blok bağlantısı katmanında bu doğrulama tamamen zorunlu değildi. Saldırgan, bu boşluktan yararlanarak gerçekte 1,2084693 LTC’yi aşmayan bir girdi üzerinden 85.034,47285734 LTC’lik pegout işlemi üretti.
Saldırı, blok yüksekliği 3.073.882’de gerçekleşti. Oluşturulan LTC önce şeffaf bir Litecoin(LTC) adresine aktarıldı, ardından üç ayrı çıktıya bölündü. Bu tür bir kötüye kullanım için saldırganın normal işlenme ve blok oluşturma sürecini *atlaması* gerektiğinden, ya bloğu bizzat kazması ya da hatalı veriyi zincire sokmaya razı bir madenci bulması zorunluydu.
Açığın tespiti sonrası Litecoin(LTC) çekirdek ekibi, büyük madencilik havuzları ile *kapalı devre* bir koordinasyona giderek saldırının büyümesini engelledi. Bu kapsamda Litecoin Core 0.21.5 ve 0.21.5.1 sürümleri acil olarak yayımlandı. Kabul edilmiş saldırı bloğu için istisna tanınırken, saldırganın kontrolündeki üç şeffaf çıktı geçici olarak *harcanamaz* hale getirildi.
Daha sonra saldırgan, dondurulan çıktılardan birini tekrar kullanmaya çalıştı ancak güncellenmiş düğümler bu işlemi reddetti. Geliştirici ekibin saldırganla doğrudan teması sonucunda taraflar 850 LTC tutarında bir *ödül* üzerinde anlaştı ve iade işlemi imzalandı. Rapora göre geri alınan tutar toplam 84.184,47278630 LTC oldu; 850 LTC ise üzerinde uzlaşılan ödül olarak saldırganın adresinde bırakıldı. Kalan tüm fonlar yeniden MWEB yapısına aktarılıp iç tedarik dengesi sağlandı.
Litecoin(LTC) geliştiricileri, mart ayında yaşanan bu vakada kullanıcı fonları açısından bir kayıp yaşanmadığını vurguluyor. Ancak madenci koordinasyonu, aşamalı güncellemeler ve geçmiş saldırı verileri için özel istisna kuralları gibi önlemler nedeniyle ağ operasyonu üzerinde *kayda değer bir yük* oluştuğu yorum yapılıyor.
Nisan ayındaki ikinci olay 25’inde (yerel saatle), blok yüksekliği 3.095.931’de başladı. Başka bir saldırgan aynı hassas doğrulama yolunu yeniden denedi fakat bu kez güncel sürüme geçmiş düğümler hatalı MWEB verisini reddetti. Sorun, bu süreçte ortaya çıkan ek bir kusurda yoğunlaştı: MWEB gövdesi, bloğun *resmi hash’ini değiştirmeden* manipüle edilebiliyordu.
Rapora göre, yükseltilmiş düğümler bozulmuş MWEB gövdesine sahip bir blok aldığında, bu veriyi uygulamada başarısız oluyor ve bloğu ‘BLOCK_MUTATED’ etiketiyle işaretliyordu. Bu durum bir kez yaşandığında, aynı hash’e sahip *doğru blok verisi* sonradan gelse bile artık kabul edilmiyordu. Bazı madenci düğümler böylece normal blok üretimine hızlıca dönemedi; MWEB yamasını uygulamamış madenciler ise hatalı bir yan zinciri kazmaya devam etti.
Sonuçta geçersiz zincir 3.095.943 yüksekliğine kadar uzadı ve toplam 13 blok yanlış şekilde oluşturulduktan sonra, *doğru zincir* bu yan zinciri geride bıraktı. Litecoin(LTC) tarafı, bunun ana zincirin geriye alınması değil, güncellemeyi geç yapan veya doğrulama kurallarını tam uygulamayan madencilerin ürettiği *geçersiz zincirin* yeniden düzenlenmesi olduğunu özellikle belirtiyor.
Nisan’daki zincir düzenlemesi, harici altyapıları da vurdu. Raporun aktardığına göre Near Protocol(NEAR) üzerindeki bir *intent* işlemi, 11.000 LTC’yi 7,78814476 Bitcoin(BTC) ile takas ettikten sonra, ilgili LTC çıktılarının geçerli zincirden düşmesiyle *ciddi bir zarar* yazdı. THORChain tarafında da bir saldırgan 10 LTC’yi 0,00719957 Bitcoin(BTC) ile değiştirdi, ancak Litecoin(LTC) üzerindeki işlem geçersiz hale gelince zincirler arası dengesizlik oluştu.
Bu sorunları gidermek için Litecoin Core 0.21.5.4 sürümü 25’inde (yerel saatle) yayımlandı. Yeni sürüm, bozulmuş blok olarak işaretlenmiş verileri temizleyerek aynı blok hash’ine sahip *geçerli verinin* yeniden kabul edilmesini sağlıyor. Geliştirici ekip; kullanıcılar, madenciler, borsalar ve hizmet sağlayıcıların en az 0.21.5.4 sürümüne geçmelerini ve düğüm senkronizasyon durumlarını dikkatle kontrol etmelerini tavsiye etti.
Şu anda Litecoin(LTC) 55,95 dolar civarında işlem görüyor. Son yaşananlar, MWEB tasarımının kendisinden çok, *doğrulama yolundaki küçük bir eksikliğin* bile nasıl büyük bir karmaşaya yol açabileceğini ortaya koydu. Aynı zamanda, ‘yükseltme hızı’ ile ‘düğüm tutarlılığı’nın, Litecoin(LTC) gibi yerleşik ağlarda bile piyasa güvenini doğrudan etkileyen kritik unsurlar olduğu gerçeğini de yeniden hatırlattı.
Yorum 0