Titanic'in yapımı bugünün parasıyla yaklaşık 176 milyon dolara mal olmuştu. "Batmaz" denilen geminin hikayesi birçoğumuz için bugün banallikten öteye gitmese de, (sembolik) Titanic'ler inşa etmeye hala hevesli olduğumuzu gösteren bir vaka The Decentralized Autonomous Organization (DAO) hack'lenmesi. Şimdi herkes blockchain'in geleceğinin düşünüldüğü kadar parlak olmayabileceğini konuşuyor.
Kaçıranlar için 17-18 Haziran tarihleri kripto para ekosistemi için tarihi bir gün olarak kayıtlara geçti. Blockchain tabanlı dağıtık girişim sermayesi (kitle kaynaklı fonlama organizasyonu) olarak tanımlayabileceğimiz DAO üzerinden kimliği henüz tespit edilemeyen bir kişinin hesabına 3,641,694 ether tutarında kaynak "yasadışı" yollarla aktarıldı.
Saldırgan olduğunu iddia eden kişinin olaydan hemen sonra Pastebin'den paylaştığı not, aktarımın bir hırsızlık değil bilakis meşru olduğunu savunuyor. Smart contract şartlarına bağlı olduğunu söyleyen saldırgan, avukatından eylemle ilgili ABD yasalarına uygun olduğu yönünde tavsiye aldığını da belirtiyor. Saldırgan, sistemde olası bir kod değişikliğinin Ethereum'un felsefesiyle çelişeceğinin farkında. Saldırganın parayı hesabına aktarabilmesi için, işlem tarihinden itibaren 27 gün beklemesi gerekiyor.
Bu, Ethereum komünitesine "hırsızlığı" durdurmak için 27 günlük süre veriyor... Söz konusu kod değişikliğiyse Etherum kurucusu Vitalik Buterin'in dün kaleme aldığı Smart Contract'ların güvenliği paylaşımında öne çıkan çözümlerden biri. Paylaşımında DAO dahil son dönemde karşılaştıkları irili ufaklı ETH hırsızlıklarını sıralayan Buterin, Ethereum'un kodunda yapılacak (soft fork) ufak bir değişiklikle, saldırganın parayı çekmesinin önlenebileceğine ikna olmuş görünüyor.
Blockchain'i kendi silahıyla vurmak
Tartışmalar da burada başlıyor. Başta DAO'nun yapımcıları olmak üzere belirli bir kesin Ethereum kodunda "hard fork" uygulanmasını ve böylelikle milyonlarca doların sistemde kalacağını savunuyorlar. Ancak sorun şu ki, bu öneri blockchain sisteminin felsefesiyle tamamen ters düşüyor. Tamamen şeffaf bir yapı üzerine oturtulan blockchain'de yaptığınız bir işlem ağ tarafından başlatıldıktan sonra "sonsuza kadar" kayıtlı kalıyor, geri alınamıyor, silinemiyor. Yolsuzluk, eşitsizlik gibi günümüz finansal sisteminin açıklarını bu şekilde dışlamaya çalışan blockchain için kod değişikliği bu nedenle oldukça kritik bir soru.
Vakanın, iyimserlerden değilseniz, deneysel DAO organizasyonu için kaçınılmaz olduğunu söyleyebilirsiniz. Bunu ileri götürüp, ilk kurulduğu günden bu yana, kontrat sistemindeki açığın kötüye kullanılabileceğine dair uyarılar verilen sistemin sonunun geldiğini düşünenler bile var. Cornell Üniversitesi Profesörü Emin Gür Siner, vakanın ardından DAO deneyinin artık bitmesi (çünkü saldırı tekniği kısa sürede öğrenilip, benzer saldırılar tekrarlanabilir) güvenli smart contract'lar için yazılacak kodların tipik web projesi gibi değil, nükleer reaktör projesi gibi ele alınması gerektiğini savunuyor.
Saldırıyla birlikte kısa bir süre öncesine kadar yükselişle devam eden Ether'in piyasa değeri derin dalışa geçti. Komünitenin nasıl bir çözümle geleceği belirsizliğini koruduğu için kısa sürede toparlanma düşük bir olasılık gibi görünüyor.
Tartışmalar bir süre daha devam edecek. Blockchain 400 milyon dolarlık bitcoin soygununu hatırlatan bu krizden güçlenerek çıkmak zorunda. Sistemin hack'lenemez olup olmadığından çok, bu ve benzer vakalara nasıl çözüm bulduğu ve ne yöne evrildiği, en azından bugün için daha önemli sorular olacak.