Yaşanmış Bitcoin Hack Vaka Analizleri

11 min readFeb 4, 2023

Ön Bilgilendirme:

Bu yazı çeşitli açık kaynaklar ve özellikle son günlerde oldukça trend olan ChatGPT den de destek alınarak oluşturulmuştur. ChatGPT ile oluşturulan kısımlar paragraf başlarında belirtilmiştir. Bunun dışındaki tüm kısımlar araştırmacı yazarın kendi cümleleri ile yazılmıştır.

Önce İlkler

2008 yılında temelleri atılarak; 2009 yılında Bitcoin piyasaya “Satoshi Nakamoto” adını kullanan bilinmeyen bir kişi/grup tarafından açık kaynak kodlu yazılım ortaya çıktığında birçoğumuzun haberi yoktu. Bitcoin benzeri girişimlerin doksanlı yıllarda denemeleri de yapılmış ancak başarıya ulaşmamıştır.

Graham Bell’in sevgilisine “Alo” demesi misali; ilk Bitcoin transferi Satoshi Nakamoto ile PGP Corporation’da yazılım geliştirici olarak çalışan H. Thomas Finney arasında gerçekleşmiştir.

Bitcoin’in ortaya çıkması ile birlikte alım/satım için gerekliliği doğdu ve bu nedenle Bitcoin piyasaları (market-borsa) ortaya çıkmıştır. 2010 yılında ilk kripto para borsası bitcoinmarket.com açılmış ve sadece 1.5 yıl dayanabilmiştir. Yine 2010 yılının Temmuz ayında, Mt. Gox isimli Bitcoin borsası kullanıma açılmıştır.

Bitcoin ile ilk ticari alışveriş; 22 Mayıs 2010 tarihinde, Laszlo Hanyecz tarafından 10.000 BTC karşılığında Florida, Jacksonville’de bulunan bir Pizzacı’dan iki pizza satın alınarak gerçekleştirilmiştir.

Benim bizatihi bitcoin diye bir şeyin varlığından haberdar olmam 2012 yılına dayanmakta, bir süre araştırma yaptıktan sonra 2013 yılında 300 TL değerinde iken satın alma ve mining girişimlerimi gerçekleştirmiştim.

Mt. Gox Vakası 2011–2014

Mt. Gox Japonya’nın Shibuya bölgesi Tokyo şehrinde 2010 yılında kurulmuş, 2014 yılına geldiğinde tüm Bitcoin piyasasının %70 ini elinde bulunduran bir güç haline gelmiştir.

Mt. Gox Borsası için 2011 Haziran ayında karanlık günler baş göstermeye başlamıştır:

Henüz 1.5 yıllıkken o gün için 400.000 $ değerindeki 25.000 adet bitcoin toplamda 478 adet hesaptan ele geçirilmiştir.
Bu olayın 3–4 gün sonrasında borsanın veritabanı Paste.bin de yayınlanmıştır.
Akabinde Mt. Gox ta çalışan bir denetçinin bilgisayarı hacklenerek Bitcoin 1 cente düşürülmüş ve değeri 8.750.000 $ dan fazla olan hesaplar etkilenmiştir.
Mt. Gox güven tazeleyebilmek için 424.242 adet bitcoini soğuk cüzdandan borsaya almak zorunda kalmıştır.

— Hacking bir borsayı iflasa götürebilir mi?

2011 yılı Mt. Gox için kabus dolu geçse de esas çöküş 2014 yılında meydana gelmiştir: 3.5 yıllık bir geçmişe sahip Mt. Gox Şubat 2014'te hacklendiğini açıklamıştır. Dönemin en büyük Bitcoin borsasından 850.000 adet Bitcoin ele geçirilmiş ve bu hack olayı sonucunda borsa iflas etmiştir. Borsa bu hack sürecini ilk etapta anlamsız bir şekilde hırsızlık, dolandırıcılık, kötü yapılandırma veya bunların birleşimi — olarak açıklamış ve bu da güvensizliği bir kat daha artırmıştır.

Bir hacking vakası her organizasyonun başına gelebilir; şeffaf bir kriz yönetimi yapabilmek şirketlerin kabus sonuçlar yerine güven tazelemesine sebebiyet verebilmektedir.

— Kök sebep ve Basın Açıklaması

Mt. Gox hack olayının kök sebebi; ilk bitcoin protokolünde mevcut olan ve “transaction malleability” olarak bilinen bir zaafiyetin (bug) istismar edilmesiyle gerçekleştirilmiştir:

İşlemlerin hash değerlerini bu zafiyet sayesinde değiştirebilen hackerlar; işlemleri onaylandıktan sonra değiştirerek, borsadaki bitcoinleri çalmışlardır. Borsa “withdrawal” denilen dışarıya bitcoin aktarımını durdurmuştur. Bu hack olayı, borsaların ve kullanıcıların daha güvenli sistemler kullanmaları için bir uyarı olmuştur. Mt. Gox 10 Şubat 2014 tarihinde bir basın açıklamasıyla teknik ekiplerin olay üzerinde çalıştığını şu şekilde duyurmuştur:

“A bug in the bitcoin software makes it possible for someone to use the bitcoin network to alter transaction details to make it seem like a sending of bitcoins to a bitcoin wallet did not occur when in fact it did occur. Since the transaction appears as if it has not proceeded correctly, the bitcoins may be resent. Mt Gox is working with the bitcoin core development team and others to mitigate this issue.

10 gün sonra yeniden bir basın açıklaması yapan Mt. Gox borsasında bir güvenlik ihlali gerçekleştiğini yinelemiş, 20 Şubat’ta ofislerini güvenlik sebebiyle başka bir konuma taşımış, diğer borsalara göre Mt. Gox borsasındaki Bitcoin değeri %20 düşmüştür. 24 Şubat 2014 ’te borsanın web sitesine erişenler boş bir sayfa ile karşılaşmış, sızdırıldığı iddia edilen bir şirket içi kriz yönetimi dokümanına ulaşıldığı iddia edilmiş ve şirket yıllarca tespit edilemeyen bir hırsızlık ile 744.408 bitcoin kaybettikten sonra iflas ettiğini açıklamıştır. Bu tarihin en büyük hırsızlık olayı olarak tarihe geçmiştir.

Bu süreçte 2014 yılı Mart ayının sonuna kadar Bitcoin değeri %36 oranında düşmüştür. O günlerde Mt. Gox; 2011 yılından kalma eski bir dijital cüzdanda 200.000 adet bitcoin bulduklarını açıklamıştır.

Mt. Gox vakasında kronolojik olarak yaşananlar:

Kronolojik tabloya bakıldığında 2011 yılından beri hackerların içeride olduğu iddia edilebilir ancak daha çok veri ve kayıt olmadan durum ispatlanamaz.

Elinde 142.000 civarında Bitcoini kalan Mt.Gox davası halen devam etmektedir.

Transaction Malleability zafiyetini ChatGPT’ye sorduk:

“Transaction Malleability, Bitcoin işlemlerinin yapısındaki bir açıktır. Her Bitcoin işlemi, bir gönderici adresi, bir alıcı adresi ve bir işlem miktarı gibi bilgileri içerir. Ayrıca, her işlem, bir unique transaction ID (TXID) ile tanımlanır. Bu TXID, işlemin hash değeridir ve işlemi benzersiz hale getirir.

Transaction Malleability, işlem yaparken, göndericinin işlemin önemli bilgilerini değiştirerek, işlemin hash değerini değiştirebileceği bir açıktır. Örneğin, gönderici, işlemde kullanılan “Change output” bilgisini değiştirerek, işlemin hash değerini değiştirebilir. Bu sayede, gönderici, işlemi gerçekleştirdikten sonra, işlem hash değerini değiştirerek, işlemi iptal edebilir veya işlemi yeniden yapabilir. Bu açık, borsaların veya kullanıcıların işlemlerin gerçekleştiğinden emin olamamasına neden olabilir.”

Peki açık kapatıldı mı?

“Transaction Malleability açığı, Bitcoin protokolünün güncellenmesiyle kapatıldı. Bitcoin Core sürüm 0.9.x ve sonrası, “SIGHASH_FORKID” özelliği ile bu açığı kapatmıştır. Bu özellik, işlem hash değerini değiştirmek isteyen hacker’ların işlemleri iptal edememesini veya yeniden yapamamasını sağlar. Ayrıca, sonraki sürümlerde segwit (segregated witness) veya bir sonraki çıkan sürümlerde Schnorr signature ile birlikte kullanılması ile bu açık daha da kapatılmıştır.

Bu önlemler alındıktan sonra, transaction malleability ile ilgili problemler oldukça azalmıştır. Ancak, borsalar, güncelleme yapmadan önce bu açığı önlemek için önlemler almalıdır. Özellikle, borsaların işlemleri gerçekleştiğinden emin olmak için, işlemlerin birden fazla onay almasını sağlaması gerekir. Bu sayede, hacker’ların işlem hash değerini değiştirmek için kullandıkları açıklar, etkisiz hale getirilmiş olur.”

Mt. Gox’tan çıkarılacak dersler

Mt. Gox vakalarının kaynaklardan öğrendiğimiz kadarıyla anlık bir hacking vakası olmadığını bize göstermekte ve 2011 yılında şirketin yaşadıklarından dersler çıkarmadığını veya içeride “Insider” olarak tabir edilen bir takım kişilerin olabileceğini göstermektedir.

İnsan’ın olduğu yerde hata ve yanlış yapılabilme olasılığının her zaman göz önünde bulundurulmasının ve sistemlerdeki kayıtların bu doğrultuda tutulmasının, şirket çalışanlarının ve özellikle yöneticilerin sosyal mühendislik, phishing gibi aldatıcı saldırılara karşı sürekli olarak farkındalık içerisinde bulunmasının, şirket çalışanları sıkı siber güvenlik politikalarına nasıl uyuyorlarsa yöneticilerin de aynı sıkılaştırılmış politikalara uymaları gerektiğini söyleyebiliriz.
Özellikle Finans ve Borsa gibi şirketleri değerli varlık koruyucuları olarak değerlendirdiğimizde; varlıkların sanal da olsa hem özel sektör hem de devletler tarafından “altın” ve “hazine” gibi görülmesi; fiziksel ve dijital tüm önlemlerin buna yönelik olarak alınması;
İçeride kullanılan uygulamalar, altyapı ve sistemlerin marka ve modellerinin olabildiğince gizli olması ve kaynakların birbirinden izole olması gerektiğini söyleyebiliriz.

— Bitfinex Vakası

2016 yılına geldiğimizde sıcak bir Ağustos günü Hong Kong menşeili Bitfinex borsasında Phishing saldırısı meydana gelmiştir. Hackerlar, borsa üyelerinin login bilgilerini elde etmek için phishing e-postaları ve sahte web siteleri kullanmışlardır. Bu sayede hackerlar üyelerin hesaplarına erişebilmiş ve o günün şartlarında 72 Milyon Dolar değerinde 119,756 adet Bitcoin’i çalmışlardır.

Olayda kullanıcı cüzdanlarından tek bir cüzdana yaklaşık 2000 onaylı işlem gönderilmiştir. Bitfinex, ihlali öğrenir öğrenmez, alım-satımı ve bitcoin çekme (withdraw) işlemlerini durdurarak araştırmaya başladığını açıklamıştır. Bitcoin fiyatı bunlar üzerine %20 oranında azalmış ve çalınan Bitcoinin değeri 14 Milyon dolar birden düşerek 58 Milyon dolara düşmüştür.

Bu saldırı Bitfinex tarafından çoklu imza güvenliği kullanan Bitgo tarafından fonların güvence altına alınmasına rağmen gerçekleşmiştir.

Geçen sene (2022 Şubat) ayında bu vakayla ilgili bir gelişme yaşanmıştır: 6 yıldır soruşturma devam ederken; ABD görevlileri ele geçirilen hesaplar ile ilişkili adresleri ve özel anahtarları içeren New York’ta yaşayan; Ilya Lichtenstein’a ait bir dosyanın şifresini çözerek çalınan Bitcoin’in 3,6 milyar ABD doları değerinde olan bir kısmını kurtardı ve ele geçirdi . Lichtenstein ve eşi Heather R. Morgan kara para aklamak için komplo kurmakla suçlanmıştır. Netflix bu olayla alakalı belgesel dizisi yapımına başlamıştır.

Bu olay borsa altyapılarının ve kullanıcıların daha güvenli sistemleri kullanmaları ve güvenlik önlemlerini almaları gerektiğine dair bir uyarı olarak görülmüştür.
Bitfinex vakasının sebebi phishing ve sosyal mühendislik gibi görüldüğünden insan, süreç ve teknoloji ekseninde NIST gibi otoritelerin belirlediği Siber Güvenlik modellemeleri doğrultusunda Siber Güvenlik Tasarımını yapmanın gerekliliği hatırlatılmalıdır.

— Bitcoin Blockchain Ağına Yönelik DDoS Saldırıları

2013 ve 2014 Bitcoin DDoS Atağı

Tarihler Nisan 2013'ü gösterdiğinde, Bitcoin ağı üzerinde bir DDoS saldırısı meydana gelmiş ve ağın çalışması etkilenmiştir. Bu saldırı, ağın üst düzey istemcilerini hedef almış ve bazı işlemlerin gerçekleşmemesine neden olmuştur.

Bu saldırının sebebi, ağda çalışan “full node” sunucuların, saldırganlar tarafından elle yapılan bir saldırı ile engellenmesiyle gerçekleşmiştir. Saldırganlar, ağın üst düzey istemcilerine yapılan isteklerle ağı meşgul etmişler ve bazı işlemlerin gerçekleşmemesine neden olmuşlardır.

Bu saldırıda özellikle bir önceki konumuzun mimarı Mt. Gox ve Lüksemburg merkezli bir kriptopara borsası olan Bitstamp etkilenmiştir.

O tarihte Bitcoin global pasta payının büyük bir bölümünün bu iki Kriptopara borsası paylaştıklarından hedef tahtasında oldukları sebebiyle böyle bir saldırıya maruz kaldıklarını söyleyebiliriz.

Bitcoinin değeri bu saldırı sürecinde 142 dolar seviyelerindeyken, Mt. Gox delilleriyle birlikte bir açıklama yaparak, DDoS saldırısı sebebiyle trade işlemlerinin çok fazla geciktiğini söylemiştir. O günkü açıklama şu şekildeydi:

2013 yılında, Bitcoin ağı üzerinde gerçekleşen DDoS saldırısının, hangi DDoS tekniği kullanıldığı kesin olarak bilinmemektedir. Ancak, saldırganların ağın üst düzey istemcilerine yapılan isteklerle ağı meşgul etmişler ve bazı işlemlerin gerçekleşmemesine neden olmuşlardır.

2013 yılındakine benzer şekilde Bitcoin ağına yönelik olarak, 2014 yılında da DDoS saldırısı gerçekleştirilmiştir. Bu saldırı, ağın üst düzey istemcilerini hedef almıştır ve ağın çalışmasını etkilemiştir. Bu olay, saldırının geniş kapsamlı olduğunu ve ağın güvenliği ve dayanıklılığının sorgulandığını göstermektedir. Ayrıca, saldırının metodlarının ne olduğu ile ilgili bilgi bulunmamaktadır.

Özellike Mt. Gox vakasıyla alakalı detaylı analize şu linkten ulaşabilirsiniz.

— 2016 yılı DAO Smart Contract Vakası

DAO (Decentralized Autonomous Organization) vakası, 2016 yılında Ethereum blockchain ağı üzerinde meydana gelen bir güvenlik ihlali olayıdır. DAO, bir kod tabanlı organizasyon olarak tasarlanmış ve kullanıcıların kararlarını oylama yoluyla almaktaydı.

DAO’nun kodunda bir güvenlik açığı bulunmuş ve bir hacker, bu açığı kullanarak DAO’nun içindeki Ether’leri (ETH) çalmıştır. Hacker, DAO’nun smart contract’ının yapısını kullanarak, ETH’leri çekebilmek için bir seri işlem gerçekleştirmiştir. Bu işlemler sonucunda, yaklaşık 50 milyon dolarlık bir miktarda ETH çalınmıştır.

Bu olay, Ethereum ağı üzerinde meydana gelen ilk ve en büyük güvenlik olayı olarak kabul edilmektedir. Ethereum topluluğu, bu olayın ardından bir çözüm bulmak için çalışmalara başlamış ve bir hard fork (ağ bölünmesi) gerçekleştirmiştir. Bu hard fork ile birlikte, çalınan ETH’ler geri alınmış ve DAO kullanıcıları, ETH’lerini geri alabilmişlerdir.

DAO olayı, blockchain teknolojilerinin güvenliğinin önemini ve smart contract’ların dikkatli bir şekilde tasarlanmasının gerekliliğini göstermiştir. Ayrıca, bu olay, blockchain ağlarının geri dönüşümsüz olması nedeniyle, güvenlik açıklarının ne derece ciddi sonuçlar doğurabileceğini de göstermiştir.

Yazılımlar ve kodlar genellikle ve özellikle ilk etapta oluşturulurken bir an önce hizmete sunulabilmesi açısından güvenlik altyapısından mahrum bırakılarak oluşturulmaktadır. Bunun önüne geçilebilmesi açısından OWASP gibi çeşitli modellemeler baz alınarak bilinen ve öngörülen tüm testlerden geçmesi ve riskin minimize edilmesi gerekmektedir. Ancak tüm bunlara rağmen %100 güvenli sistem olmadığı gibi %100 güvenli kod yoktur.

— 2017 yılı Parity Wallet Vakası

Parity Wallet, Ethereum ağı üzerinde çalışan bir cüzdan ve smart contract platformudur. 2017 yılının Temmuz ayında, bir güvenlik açığı nedeniyle 150.000 Ether (ETH), o zamanın değeri ile birlikte ortalama 30 milyon dolara yakın bir değerde olan varlıkların kaybolduğu bildirilmiştir.

Zafiyet Parity Wallet’in “multi-sign” (çoklu imza) cüzdanlarının kodunda bulunmuştur.

Bu açık, kullanıcıların, cüzdanlarına erişmek için birden fazla imzaya ihtiyaç duydukları “multi-sign” cüzdanlarının kodunda bulunmuştur. Zafiyet istismar edilerek bir kullanıcının, yazılımın kaynak kodunu değiştirerek cüzdanların kilitlerini açmasını sağlamıştır. Bu değişikliği yapan kullanıcı, cüzdanların içindeki tüm varlıkları çekmiştir.

Parity Technologies, bu açığı tespit ettikten sonra, cüzdanların kilitlerini kapatmış ve kullanıcıların varlıklarını geri almaları için çalışmalar başlatmış ancak geriye döndürme mümkün olmamıştır.

Sonuç olarak, Parity Wallet vakası, kripto paraların güvenliğinin önemini ve cüzdanların doğru şekilde yönetilmesinin önemini göstermiştir. Ayrıca, açık olan yazılımların güncel olarak izlenmesi ve güvenliği sağlamak için gerekli önlemlerin alınması gerekmektedir:

Başarılı bir Siber Güvenlik altyapısında NIST Cybersecurity Framework’te yer alan 5 aksiyonun tam manasıyla uygulanabilmesi gerekir.
1. Tanımla,
2. Koru,
3. Tespit Et,
4. Aksiyon Al
5. Geriye Döndür.
Altyapı ve sistemlerde zafiyetlere yönelik testlerin sürekli olarak gerçekleştirilmesi ve başa gelen bir olayda Siber Hijyen’in net bir şekilde sağlanabilmesi için “Geriye Döndür” acil durum planlarının hali hazırda tutulması ve tatbikatlarının uygulanması gerekir.

— 2018 Ethereum DDoS Saldırısı

2018 yılında Ethereum ağı, bir Distributed Denial of Service (DDoS) saldırısına maruz kalmıştır. Bu saldırı, ağın işlem hacmini arttırarak, işlemlerin gerçekleştirilmesini engellemek amacıyla gerçekleştirilmiştir.

Saldırı, bir dizi “spam” işlemiyle gerçekleştirilmiştir. Boş işlemler, aynı adreslere geri göndermeler gibi bu sahte işlemler, ağın işlem hacmini ve enerji tüketimini arttırarak, gerçek işlemlerin gerçekleştirilmesini engellemiştir. Bu saldırının sonucu olarak, ağda işlemlerin gerçekleştirilmesi gecikmiş ve işlem ücretleri yükselmiştir.

Saldırganlar genellikle bu “spam” işlemleri gerçekleştirmek için, çok sayıda farklı adres veya botnetler kullanırlar.

Ethereum topluluğu, bu saldırıyı önlemek için ağın işlem hacmini azaltmak için işlem ücretlerini arttırmak gibi çeşitli önlemler almıştır. Bunun yanı sıra, ağda işlemlerin gerçekleştirilmesini engelleyen işlemleri tespit etmek ve engellemek için çeşitli teknolojiler ile önlem almışlardır:

GasToken: GasToken, ağda işlemlerin gerçekleştirilmesini engelleyen işlemleri tespit etmek için kullanılan bir yazılımdır. Bu yazılım, ağda gerçekleşen işlemleri analiz eder ve gerçek işlemleri ayırt etmek için kullanılan bir algoritma kullanır.
Spam Filter: Spam Filter, ağda gerçekleşen işlemleri analiz eder ve spam işlemleri tespit etmek için kullanılan bir yazılımdır. Bu yazılım, ağda gerçekleşen işlemleri inceler ve spam işlemleri engellemek için kullanılan bir algoritma kullanır.
Ethereum Spam Filter: Ethereum Spam Filter, ağda gerçekleşen işlemleri analiz eder ve spam işlemleri tespit etmek için kullanılan bir yazılımdır. Bu yazılım, ağda gerçekleşen işlemleri inceler ve spam işlemleri engellemek için kullanılan bir algoritma kullanır.
ChainGuard : ChainGuard, Ethereum ağını DDoS saldırılarından koruma amacıyla geliştirilmiş bir yazılımdır. Bu yazılım, ağda gerçekleşen işlemleri inceler ve spam işlemleri engellemek için kullanılan bir algoritma kullanır.

— 2018 yılı Coincheck Vakası

Bu saldırıda saldırganlar, NEM adlı kripto paranın 523 milyon dolar değerinde bir miktarını çalmışlardır. Bu olay, Coincheck borsasının güvenlik açıklarını ortaya çıkarmış ve Japonya merkezli kripto paralar için daha sıkı düzenlemeler yapılmasına yol açmıştır.

Coincheck olayının nedeni, borsanın kullandığı hot wallet yazılımının güvenlik açığıdır. Hot wallet, internete bağlı olan bir cüzdandır ve saldırganlar tarafından kolayca hedef alınabilir. Coincheck borsası, NEM kripto paralarını bu tip bir cüzdanda saklamaktaydı ve bu açık istismar edilerek saldırı gerçekleştirilmiştir. Bu olay, borsaların kripto paralarını cold wallet (soğuk cüzdan) olarak saklamaları gerektiği konusunda bir ders olarak değerlendirilmiştir.

— 2019 yılı Binance Vakası

Bu saldırıda saldırganlar, borsanın API kullanıcılarının hesaplarına erişerek, kullanıcılardan o günkü değeri 40 Milyon dolar olan toplamda 7.000 adet Bitcoin değerinde kripto para çalmışlardır. Binance borsası, bu olay sonrasında kullanıcıların kayıplarını karşılamak için bir fon oluşturmuş ve güvenlik önlemlerini arttırmıştır.

Binance borsasına yapılan saldırıda, saldırganlar borsanın Application Programming Interface (API) zafiyetini kullanarak, kullanıcıların hesaplarına erişmişlerdir. API, bir yazılım uygulamasının başka yazılım uygulamalarına veri veya işlevsellik sağlaması için kullanılan bir arayüzdür. Binance borsası, API kullanıcılarına erişim sağlamak için çok fazla yetki vermiş ve bu yetkileri kullanarak saldırganlar, kullanıcıların hesaplarına erişmişlerdir.

Bu olayın kök nedeni ise, borsanın API zafiyetini fark etmemesi ve yetkileri kontrol etmemesi yatmaktadır.

Borsalar ve diğer kripto paraların saklandığı veya ticaretinin yapıldığı mekanizmalar API erişim yetkilerini düzenli olarak kontrol etmeli ve güncellemeler yapmalıdır. Aynı zamanda API erişim yetkilerini kullanan kullanıcıların hesaplarının güvenliği için 2FA gibi ek önlemleri almalıdır.

–15 Saniyelik Devasa DDoS Atağı

Tarihler 2022 Nisan ayını gösterdiğinde Cloudflare’den bir haber geldi ve şimdiye kadarki en büyük DDoS saldırılarından birinin ismini açıklamadığı bir kriptopara platformuna yönelik olarak gerçekleştiğini bildirdi.

Cloudflare; saldırının sadece 15 saniye sürmesine rağmen saniyede 15.3 milyon isteğe ulaştığını ve HTTPs üzerinden gerçekleştiğini, saldırı kaynağının yaklaşık 6.000 bottan oluştuğunu ve yüzde 15'inin Endonezya’dan, ardından Rusya, Brezilya, Hindistan, Kolombiya ve ABD’den gibi toplamda 112 ülkeden geldiğini bildirmiştir.

Burada Cloudflare araştırmacıları CVE-2022–21449 Java zafiyetinin istismar edildiği yönünde dikkat çekici bir tesadüf olduğunu söylemişlerdir.

Araştırmada geçen tüm olayların kronolojik olarak analizi :

Kaynakça: