Kripto para piyasasının en büyük 24.koini olan Tezos‘un cüzdanlarında bazı sorunlar olduğu ortaya çıktı. AMBCrypto gibi kaynaklara göre Tezos’taki KYC-cüzdanları, “parlak imza” diye adlandırılan türdeki saldırılara karşı savunmasızlar.
“Parlak imza” (bling sig) olarak adlandırabileceğimiz bu saldırı türü; hackerlara yatırımcıların cüzdanlarına sızıp paralarını çalma imkanı tanıyor. Tezos’un Reddit’teki resmi başlığında yapılan duyurulara göre:
“Test ettiğimiz tüm KYC-Tezos cüzdanları (ikisi hariç), basit ama epey zararlı bir saldırıya karşı savunmasız durumdalar.”Bu “savunmasız” cüzdanlar RPC düğümü olarak adlandırılan sunucuya herhangi bir “ham işlem” olmadan bağlanabiliyorlar. Ayrıca bu cüzdanlarda çifte kontrol diyebileceğimiz bir özellik bulunmuyor. Kısaca açıklamak gerekirse bu şu anlama geliyor; eğer RPC düğümü açığa çıkarsa ağdaki işlemler de açığa çıkar ve bu durum hacklerların işine yarar.
Hackerlar bu noktadan sonra imzalanması için herhangi bir işlem oluşturabilirler. Hackerlar daha sonra bu cüzdanlara çifte kontrol olmadığı için insanların paralarını çalabilirler.
Reddit’te paylaşılan bir gönderide Tezos cüzdanlarıyla ilgili şu yorum yapılıyor:
“Kripto para cüzdanı kullanırken belli bir şeye ‘güvenmeniz’ gerekmez ama Tezos cüzdanında durum farklı…Tezos cüzdanından işlem yapıyorsanız ana sunucuya güvenmek zorunda kalıyorsunuz. Sizin güvendiğiniz bu sunucu hacklenmiş olabilir ve siz bunu fark etmezsiniz bile.”Reddit’teki bazı kullanıcılar, Tezos cüzdanlarındaki bu açığın ne kadar kötü sonuçlara yol açabileceğini anlatabilmek için yakın zamanda saldırıya uğrayan Electrum cüzdanlarını örnek gösteriyorlar.
Bazı kullanıcılara göre Electrum cüzdanları Tezos’un cüzdanlarından çok daha güvenli durumdalar. Ancak buna rağmen Electrum cüzdanlarına yapılan saldırı, 750 bin dolar değerinde paranın çalınmasına yol açtı. Bu da Tezos’a yapılabilecek bir saldırının çok daha kötü şekilde sonlanabileceğini gösteriyor.
Tezos Cüzdanlarına Yeni Açık Bulundu, Kullanıcılar Endişeli isimli makale Ömer SAKMAR tarafından hazırlanmış ve koinbulteni.comda yayınlanmıştır.