Yazarlar: Ashwin Ramachandran ve Haseeb Qureshi; Ashwin Ramachandran, blokzincir risk sermayesi şirketi Dragonfly Capital'ın kıdemli ortağı, Haseeb Qureshi ise Dragonfly Capital'ın yönetim ortağıdır.
Çeviri: Zhan Juan
23 Ocak'ta, Bitcoin Gold (BTG), 72.000 dolar değerinde çift harcamayla sonuçlanan bir %51 saldırısına maruz kaldı. Bu, Bitcoin Gold'un ikinci saldırısıydı ve pek çok kişinin şu soruyu sormasına yol açtı: Neden Bitcoin Gold ve benzeri %51 saldırısına açık PoW token'ları borsalardan kaldırılmıyor?
Cevap aslında oldukça basit. Ama önce bu saldırının nasıl gerçekleştirildiğine bir göz atalım.
Bitcoin Gold, ASIC'e dirençli bir ZHash madencilik algoritması kullanan bir Bitcoin türevidir. ZHash, verimli GPU madenciliği için optimize edilmiş olup, yüksek bellek gereksinimi nedeniyle ASIC geliştirmeyi zorlaştırır. GPU'ların standart yapısı ve ASIC'lere kıyasla geniş arzı nedeniyle, bu cihazlar kiralama amacıyla yaygın olarak kullanılır; dolayısıyla saldırganlar, Bitcoin Gold ağında çoğunluğu ele geçirmek için yeterli hash gücünü kiralayabilirler. NiceHash ve MiningRigRentals gibi platformlar, %51 saldırısı gerçekleştirme maliyetini önemli ölçüde düşürmüştür ve benzer pazarlar sürekli ortaya çıkmaktadır (Warihash, Luxor vb.).
NiceHash Hash Gücü Pazarı
Bitcoin Gold'a yönelik son saldırı, başlangıçta 3.400 dolar tutarında bir sermaye gerektirdi (29 bloğu yeniden düzenlemek için 0,4 BTC maliyeti). Ancak unutmayalım ki bu maliyetler, yeniden düzenlenen zincir üzerindeki blok ödülleriyle telafi edilebiliyor. Toplam maliyetin düşük olması sayesinde, bu saldırı tamamen mevcut GPU kiralama pazarı üzerinden gerçekleştirilebildi. Ayrıca, GPU kiralama pazarlarının likiditesi arttıkça, GPU ile madenciliği yapılabilen ağların güvenliğini aşmanın maliyeti de düşüyor (NiceHash fiyatlandırmasına bakınız). Dolayısıyla, saldırganın ön ödeme olarak ihtiyaç duyduğu miktar, yalnızca çift harcamak istediği Bitcoin Gold miktarı ile hash gücü maliyetinden ibaret. BTG saldırganı 72.000 dolar değerinde çift harcama yaparsa, yalnızca 3.400 dolar ödemesi beklenir (blok ödüllerinden yaklaşık 4.200 dolar gelir elde eder). Bu da yatırım getirisini yaklaşık %96,6 seviyesine çıkararak saldırıyı oldukça karlı hale getirir.
Elbette, %51 saldırısının asıl mağdurları borsalardır. Bu tür saldırılar genellikle şu şekilde işler: Saldırgan, token'ları bir borsaya yatırır; bu token'lar daha sonra Bitcoin gibi başka likit token'larla takas edilir ve ardından Bitcoin çekilir. Orijinal yatırılan token'lar, işlem tamamlandıktan sonra %51 saldırısıyla geri alınır; bu da saldırganın orijinal yatırımını geri kazanmasını sağlar ve etkili bir şekilde parasını ikiye katlar. Bu tür bir güvenlik açığı nedeniyle borsalar, token çekimine izin vermeden önce belirli bir onay süresi beklemelidir (örneğin Binance platformunda Bitcoin Gold için başlangıç onay süresi 12 bloktu). Ancak bu onay süreleri güvenlik düzeyini artırsa da saldırıyı tamamen engelleyemez. %51 saldırılarının mekaniği hakkında daha fazla bilgi edinmek için, geçen yıl Ethereum Classic (ETC)'e yönelik saldırıyı analiz eden @hoseeb'in tweet dizisine göz atabilirsiniz.
Bitcoin Gold'un %51 saldırısı iki yılda ikincisidir (ilk saldırı çok daha büyük ölçekliydi), ancak BTG hâlâ Binance gibi borsalarda işlem görmektedir. Doğal olarak akla şu soru geliyor: Neden Binance BTG'yi listesinden kaldırmıyor?
Şu anda BTG/BTC işlem hacmi haftalık yaklaşık 4,13 milyon dolardır. Dolayısıyla yalnızca BTG/BTC işlem çifti üzerinden — varsayımsal olarak her işlem için ortalama %0,2 komisyon alındığı (alıcı/satıcı ücreti) ve BNB kullanım oranının düşük olduğu durumda — Binance'in yıllık toplam kârı yaklaşık 429.000 dolar civarındadır.
Orta ve düşük piyasa değerine sahip tüm PoW token'larının karlılığı hesaplandığında belirgin bir eğilim ortaya çıkıyor: Binance açısından, %51 saldırısı riski taşısa bile, düşük ve orta piyasa değerli PoW token'larını listelemek daha karlıdır.
Aşağıdaki grafik, kiralık hash gücü yüzdesinin tahmini değerini ve Binance'in kâr tahminlerini göstermektedir (mevcut piyasa fiyatları varsayımıyla).
Mevcut kur oranlarına göre %51 saldırısına açık PoW token'ları, Kaynak: Binance API, NiceHash, MiningRigRentals.com
Not: Tüm kiralanan hash gücü, ağın toplam hash gücünü artırır. Dolayısıyla bir %51 saldırısının başarılı olabilmesi için saldırganın mevcut hash gücünün %100'ünü veya daha fazlasını ele geçirmesi gerekir. Hash gücü satın alma tahminleri aynı zamanda piyasa fiyatlarındaki düşüşlerden de etkilenebilir; bu durum saldırı maliyetini önemli ölçüde artırabilir.
%51 saldırısına açık PoW token'larının listeleme / kaldırma kararı aşağıdaki basit formülle özetlenebilir:
Yıllık Kâr > Gelir (%51 Saldırısı) × (Ortalama Saldırı Kârı)
Kâr, potansiyel saldırı kayıplarını aşmalıdır
Yukarıdaki durum devam ettiği sürece, Binance ve diğer karlı borsaların %51 saldırısına açık PoW token'larını işlemeye devam edeceği öngörülebilir. Borsalar, %51 saldırısı olasılığını azaltmak için çekim için gereken onay sayısını artırabilirler (saldırı sonrasında Binance, BTG için onay sayısını 12'den 20'ye çıkarmıştır).
Ancak tabii ki bu, saldırıyı tamamen engellemez; yalnızca saldırganın sermaye maliyetini artırır. Kullanıcıların düşük piyasa değerli PoW token'larını yatırması durumunda dikkatli anomali tespiti uygulayarak borsalar, saldırı önleme çalışmalarını ileriye taşıyabilirler. Ancak unutulmaması gereken bir nokta var: Hash gücü kiralamanın, zincir üzerindeki hash gücünü hiçbir şekilde düşürmemesi nedeniyle, %51 saldırısının gerçekleşmeden önce doğrudan tespit edilmesi mümkün değildir.
En son Bitcoin Gold saldırısı yaklaşık 72.000 dolar değerindeydi; ancak Binance'in bu yıl Bitcoin Gold'dan yaklaşık 429.000 dolar kâr elde etmesi bekleniyor. Benzer şekilde, Ethereum Classic (ETC)'e yönelik %51 saldırısı saldırganlara net 1,1 milyon dolar kazandırmıştı; ancak Binance, işlem ücretlerinden yaklaşık 3,2 milyon dolar kazanmayı umuyor. İşte bu yüzden, bir token %51 saldırısına uğradıktan sonra değerini kaybetmiyor.
Bununla birlikte %51 saldırıları hâlâ bir gizemdir. Bunlar, iş kanıtı (PoW) güvenlik modelini temelden ihlal ediyor gibi görünür. Ancak %51 saldırısına uğramış kripto paralar, en büyük borsalarda işlem görmeye devam eder ve bazen saldırı sonrasında garip bir şekilde değer kazanır (ETC, BTG ve XVG'ye bakınız). Bu fenomeni kısmen açıklamak için %51 saldırılarını borsalara konan bir vergi gibi görebilir ve bu tür zayıf kripto paraların listelenmeye devam etmesinin içsel motivasyonlarını simüle edebiliriz. Ancak maalesef, %51 saldırısına uğramış bir kripto paranın neden bazen değer kazandığı hâlâ bir gizemdir.