Bitcoin(BTC) ağının temel istemcisi olan Bitcoin Core’da, ‘gizlilik’ amacıyla eklenen bir özelliğin bazı koşullarda tam tersi sonuç doğurabildiği ortaya çıktı. MEXC Ventures’ın yakın tarihli araştırmasına göre Bitcoin Core 31.0’daki ‘privatebroadcast’ seçeneği, belirli senaryolarda Tor proxy ayarını baypas ederek işlem yayını sırasında düğüm operatörünün gerçek IP adresini açığa çıkarabiliyordu. Bu durum, Bitcoin(BTC) ekosisteminde gizlilik ve ağ güvenliği tartışmalarını yeniden alevlendirdi.
Söz konusu sorun, Bitcoin Core geliştiricilerinin Haziran 2026’da 31.1 sürümünü yayımlamasıyla resmen doğrulandı. Bitcoin Core, dünya genelindeki Bitcoin(BTC) düğümlerinin büyük bölümünde kullanılan standart yazılım konumunda. İşlem doğrulama, blok yayılımı ve protokol kurallarının uygulanmasında referans kabul edilen bu yazılımda tespit edilen açık bu yüzden teknik olduğu kadar pratik açıdan da önem taşıyor. Sorunun merkezinde, 31.0 sürümünde kullanıma sunulan ‘privatebroadcast’ özelliği yer alıyor. Bu özellik, işlemi ilk gönderen düğümün IP takibini zorlaştırmak için işlemleri doğrudan değil, aracı düğümler üzerinden yayacak şekilde tasarlanmıştı. Ancak uygulamadaki istisna akışı beklendiği gibi çalışmadı.
MEXC Ventures’ın araştırmasına göre asıl kırılma noktası, BIP324 v2 taşıma protokolünde yaşanan el sıkışma başarısızlığı sonrasında devreye giren ‘fallback’ süreci oldu. Bitcoin Core 31.0, v2 şifreli bağlantı denemesi başarısız olduğunda otomatik olarak eski v1 bağlantı yöntemine dönüyordu. Fakat bu geçiş sırasında Tor proxy ayarının korunmadığı, bunun yerine doğrudan IPv4 veya IPv6 bağlantısı kurulmaya çalışıldığı belirlendi. Yani ‘gizlilik koruması’ olarak geliştirilen bir mekanizma, ağ koşullarına bağlı olarak IP ifşasına yol açabilen bir yola dönüşebiliyordu. MEXC Ventures, bu nedenle ‘privatebroadcast’ özelliğinin her durumda bir gizlilik kalkanı gibi çalışmadığını, bazı durumlarda doğrudan risk üretebildiğini vurguladı.
Etkilenen alan geniş değil, ancak sonuçları hafife alınacak türden de değil. Açığın ortaya çıkması için Bitcoin Core 31.0 üzerinde ‘privatebroadcast’ seçeneğinin etkin olması, işlemin ‘sendrawtransaction’ RPC komutuyla gönderilmesi ve düğümün dış dünyaya açık IPv4 ya da IPv6 bağlantısına sahip bir ortamda çalışması gerekiyor. Buna karşılık cüzdan RPC üzerinden yapılan işlem yayınlarının, Tor onion adresleri üzerinden kurulan bağlantıların ve I2P tabanlı bağlantıların bu sorundan doğrudan etkilenmediği ifade ediliyor. Tüm ağ trafiğini zaten yalnızca Tor veya I2P üzerinden yönlendiren operatörlerin ise görece daha güvenli kaldığı değerlendiriliyor.
Bu açığın neden önemli olduğu, Bitcoin(BTC)’nin yapısından kaynaklanıyor. Blockchain herkese açık bir kayıt defteri olduğu için işlem geçmişi zaten görünür durumda. Ancak bir işlemi ilk yayan düğüm tespit edilebilirse, o işlemin arkasındaki kullanıcının ağ konumu ve kimliğine dair dolaylı ipuçları üretmek mümkün hale gelebilir. Bu tür veriler zincir üstü analizle birleştirildiğinde gizlilik ihlalinin boyutu ciddi şekilde büyüyebilir. Bu yüzden mesele yalnızca bir yazılım hatası değil; Bitcoin(BTC) ağında anonimlik ve iz sürmeye karşı dayanıklılık açısından da kritik bir konu olarak görülüyor.
Bitcoin Core geliştirme ekibi, 31.1 sürümünde bu problemi giderdi. Yeni sürümle birlikte v2 el sıkışma süreci başarısız olsa dahi v1’e geçiş sırasında Tor proxy ayarının korunması sağlandı. 31.1 güncellemesi sadece bu düzeltmeyle sınırlı kalmadı. Eşler arası ağ işleyişinde iyileştirmeler, cüzdan taşıma sürecinde daha fazla kararlılık, MuSig çoklu imza kodunda güncellemeler ve derleme ile test altyapısında çeşitli düzenlemeler de pakete eklendi. Bu da güncellemenin yalnızca acil bir ‘yama’ değil, daha geniş kapsamlı bir istikrar çalışmasının parçası olduğunu gösteriyor.
Yama öncesi dönemde önerilen geçici önlemler üç ana başlıkta toplandı. İlki, ‘privatebroadcast’ özelliğini tamamen kapatmak. İkincisi, BIP324 v2 aktarımını devre dışı bırakıp yalnızca v1 kullanmak. Üçüncüsü ise IPv4 ve IPv6 dış trafiğinin tamamını Tor üzerinden zorunlu olarak yönlendirmek. Uzmanlara göre en temkinli yaklaşım üçüncü seçenekti. Çünkü bu yöntem, fallback mantığı nasıl çalışırsa çalışsın doğrudan bağlantı kurulmasının önünü kesebiliyordu. Yine de her çözümün uygulanabilirliği, düğüm operatörünün altyapısına ve performans ihtiyaçlarına göre değişiyor.
Bu gelişmeler sürerken Bitcoin Core topluluğunda, ücret artırımlı işlem değiştirme sistemi olan RBF(Replace-by-Fee) sinyal yapısı hakkında ayrı bir teknik tartışma da gündeme geldi. Bazı geliştiriciler, açık RBF sinyalinin gereksiz zincir üstü bilgi bıraktığını savunarak kaldırılmasını önerdi. Buna karşı çıkanlar ise giriş bazında sıra numarası yönetiminin daha karmaşık hale geleceğini belirtti. Zaten çok sayıda Bitcoin(BTC) işleminin belirli sıra numarası kalıpları kullandığı düşünüldüğünde, sadece sinyalin kaldırılmasının beklenenden daha büyük teknik yük doğurabileceği dile getiriliyor. Bu tartışma, Bitcoin Core geliştirme sürecinde artık yalnızca yeni özelliklerin değil, mevcut tasarımların bilgi sızdırma ihtimallerinin de daha sıkı incelendiğini gösteriyor.
Piyasada ve teknik çevrelerde öne çıkan ortak değerlendirme şu: Bitcoin(BTC) ekosisteminde ‘gizlilik’, sadece güçlü kriptografiyle tamamlanan bir hedef değil. Bağlantı şifrelemesi, proxy yapılandırması, hata anındaki istisna akışları ve fallback yolları birlikte sağlam değilse, teoride güvenli görünen bir özellik pratikte açık üretebiliyor. Özellikle gerçek kullanım ortamlarında, normal akıştan çok hata ve geçiş senaryolarında sorun çıkması bu olayla bir kez daha görünür oldu.
Sonuç olarak Bitcoin Core’daki bu açık, bir güvenlik özelliğinin var olmasının tek başına yeterli olmadığını net biçimde ortaya koydu. ‘Privatebroadcast’ gibi gizlilik odaklı bir mekanizmanın belirli koşullarda IP ifşa kanalına dönüşebilmesi, Bitcoin(BTC) tarafında güvenlik tasarımının yalnızca ana işleyişe değil, tüm bağlantı geçişlerine ve istisna senaryolarına göre test edilmesi gerektiğini gösteriyor. MEXC Ventures da araştırmasında, gelecekte Bitcoin Core geliştirmelerinde özellikle fallback yolları dahil tüm bağlantı zincirinin daha sıkı doğrulanmasının kritik hale geleceği yorumunu yaptı.
Yorum 0