Kripto Hırsızlığının Çoğu Önlenebilir
Kripto hırsızlığıyla ilgili manşetler yanıltıcı bir tablo çiziyor. 600 milyon dolarlık bir köprü istismarı veya 200 milyon dolarlık bir borsa hack'i okuduğunda, kripto güvenliğinin ancak elit hackerların çözebileceği bir sorun olduğu izlenimi oluşuyor. Gerçekte bireysel kripto kayıplarının büyük çoğunluğu oltalama (phishing) bağlantıları, ele geçirilmiş tohum ifadeleri, sahte müşteri desteği ve şifre yönetimindeki basit dikkatsizlikler yüzünden yaşanıyor. Bunlar teknik sorunlar değil. Farkındalık sorunları ve farkındalığın maliyeti sıfır.
Kripto güvenliğini anlamak, kripto ile geleneksel finans arasındaki temel bir farkı kavramakla başlıyor. Biri banka hesabından para çaldığında, banka işlemi geri alabilir. Biri cüzdanından kripto çaldığında ise arayabileceğin bir müşteri hizmetleri hattı yok. Hiçbir kurum işlemi dondurabilir ya da paranı iade edebilir. Blokzincir kimin o coinlerin sahibi olması gerektiğiyle ilgilenmez. Yalnızca hangi adresin şu an onlara sahip olduğunu bilir. Bu geri alınamazlık, önlemeyi tek geçerli strateji haline getiriyor.
İyi haber şu ki önleme işe yarıyor. Bireysel kripto hırsızlığının büyük çoğunluğuna karşı koruma sağlayan güvenlik önlemleri ne pahalı ne de teknik olarak karmaşık. Bir donanım cüzdanı, düzgün tohum ifadesi saklama, temel oltalama farkındalığı ve disiplinli şifre uygulamaları bir araya geldiğinde, bireysel kullanıcılara yönelik hırsızlık yöntemlerinin yüzde 90'ından fazlasını durduracak bir savunma oluşturuyor. Kripto kaybeden insanlar ezici çoğunlukla bu temel adımlardan birini veya birkaçını atlayanlardır; her şeyi doğru yapıp da dahi bir hacker tarafından alt edilenler değil.
Bu rehber, siber güvenlik uzmanı olmadan gerçek insanların uygulayabileceği pratik güvenliğe odaklanıyor. Amaç seni paranoyak yapmak değil. Amaç, hırsızların en sık istismar ettiği bariz açıkları kapatmak; böylece cüzdanının bir gün boşaltılacağı endişesi olmadan kripto tutabilir ve kullanabilirsin.
Sıcak Cüzdan vs Soğuk Cüzdan: Dengeyi Anlamak
Her kripto cüzdanı, kolaylık ile güvenlik arasındaki bir yelpazede bir yere oturuyor. Sıcak cüzdanlar — internete bağlı yazılım cüzdanları — kolaylık tarafında yer alır. Soğuk cüzdanlar — anahtarlarını çevrimdışı saklayan donanım cihazları — güvenlik tarafında durur. Hiçbiri evrensel olarak daha iyi değil. Doğru seçim ne kadar kriptoyla işlem yaptığına, ne sıklıkla erişmen gerektiğine ve ne kadar risk tolere edebildiğine bağlı.
Sıcak cüzdanlar MetaMask gibi tarayıcı eklentilerini, Trust Wallet veya Coinbase Wallet gibi mobil uygulamaları ve masaüstü uygulamalarını kapsar. Ücretsizler, anında kuruluyorlar ve merkezi olmayan uygulamalarla her an etkileşime hazırlar. Zayıf noktaları, internete bağlı cihazlarda var olmalarıdır. Bilgisayarına kripto cüzdanlarını hedefleyen bir zararlı yazılım bulaşırsa, sıcak cüzdan saniyeler içinde boşaltılabilir. Kötü niyetli bir akıllı sözleşmeyi onaylarsan — ki bu oltalama bağlantısına tıklayınca gerçekleşir — cüzdan işlemi memnuniyetle yürütür, çünkü teknik açıdan sen yetkilendirdin.
Soğuk cüzdanlar — Ledger, Trezor veya Keystone gibi üreticilerin cihazları — özel anahtarlarını bilgisayarına veya internete asla maruz bırakmayan özel bir çip üzerinde saklar. Bir işlem imzalamak istediğinde, cihaz detayları kendi ekranında gösterir ve onaylamak için fiziksel düğmelere basmanı ister. Bilgisayarın tamamen ele geçirilmiş olsa bile, saldırgan donanım cihazındaki düğmelere fiziksel olarak basmadan işlem imzalayamaz. Anahtarlarınla internet arasındaki bu hava boşluğu, soğuk cüzdanları temelden daha güvenli yapan şeydir.
Güvenlik uzmanlarının çoğunun önerdiği pratik kural şu: sıcak cüzdanda yalnızca aktif işlem veya günlük kullanım için ihtiyacın olanı tut. Geri kalan her şeyi soğuk cüzdanda sakla. Bunu cebinde nakit taşımakla parayı kasada tutmak gibi düşün. Gün içi harcamalar için cebinde yeterli nakit taşır, gerisini kilitli tutarsın. Aynı mantığı kriptoya uygulamak, DeFi etkileşimleri için MetaMask'ta birkaç yüz dolarlık tutmak ve varlıklarının büyük kısmını çekmecede duran bir donanım cihazında saklamak demek.
Soğuk cüzdan maliyeti önemli ölçüde düştü. Güvenilir donanım cüzdanları 60-80 dolar civarından başlıyor. Birkaç yüz dolardan fazla kripto tutan herkes için bu, ihmal edilebilir bir sigorta maliyetidir. Bir donanım cüzdanının maliyeti, sıcak cüzdanın savunamayacağı bir zararlı yazılım saldırısı veya oltalama dolandırıcılığı sonucu tüm portföyü kaybetmenin yanında bir yuvarlama hatasıdır.
Tohum İfadesi: Tek Arıza Noktası
Tohum ifaden — cüzdan oluştururken üretilen 12 veya 24 kelime — her şeyin ana anahtarıdır. Tohum ifadene sahip olan herkes cüzdanını tamamen kontrol eder. Şifrene, cihazına veya iznine ihtiyaçları yoktur. Tohum ifadeni herhangi bir uyumlu cüzdan uygulamasına aktarabilir ve dakikalar içinde tüm varlıklarını kendi adresine taşıyabilirler. Bu yaşandıktan sonra geri dönüş yolu yoktur.
Tohum ifadesi güvenliğinin bir numaralı kuralı şu: tohum ifadeni asla dijital ortamda saklama. Metin dosyasında değil. Ekran görüntüsünde değil. Not uygulamasında değil. E-posta taslağında değil. Şifre yöneticisinde değil. Bulut depolamada değil. Her dijital saklama yöntemi zararlı yazılımlara, hackerlara ve veri ihlallerine açıktır. Telefonunun fotoğraf galerisinde duran bir tohum ifadesi ekran görüntüsü, bir iCloud ihlali veya bir zararlı yazılım bulaşmasıyla cüzdanının boşaltılmasına kadar bir adımdır.
Tohum ifadeni kağıda yaz veya metale kazı. Kağıt çoğu kişi için işe yarar ama su hasarına ve yangına karşı savunmasızdır. 20-40 dolar fiyat aralığındaki çelik veya titanyum tohum ifadesi yedekleme plakaları her ikisine de dayanır. Fiziksel yedeği güvenli bir yerde sakla — ev kasası, banka kiralık kasa veya benzer korunaklı bir yer. Bazı sahipler, tek bir konumun ele geçirilmesinin tam ifadeyi açığa çıkarmaması için tohum ifadesini iki konuma bölüyor; ancak bu karmaşıklık ekler ve bir kısmına erişimi kaybetme riskini beraberinde getirir.
Tohum ifadeni asla hiçbir web sitesine girme. Hiçbir meşru hizmet, cüzdan veya uygulama tohum ifadeni bir web formuna yazmanı istemez. Tohum ifadeni isteyen her web sitesi, istisnasız bir dolandırıcılıktır. Buna cüzdan desteği, airdrop talepleri, token göçleri ve senkronizasyon araçları olduğunu iddia eden siteler de dahildir. Tohum ifadeni bir web sitesine girdiğin an, karşı taraftaki otomatik bir betik ifadeyi içe aktarır ve o ifadeyle ilişkili tüm zincirlerdeki tüm varlıkları boşaltır.
Ek bir katman olarak parola ifadesi — bazen 25. kelime olarak adlandırılır — kullanmayı düşün. Parola ifadesi, tohum ifadenle birleştiğinde tamamen farklı bir adres seti oluşturan, senin seçtiğin ekstra bir kelimedir. Birisi 24 kelimelik tohum ifadeni ele geçirse bile, o ek kelimeyi bilmeden parola ifadesiyle korunan fonlara erişemez. Bu sana, tohum ifadesi tek başına kullanıldığında görünmeyen gizli bir cüzdan sağlar. Büyük üreticilerin donanım cüzdanları bu özelliği destekler.
Borsa Güvenliği: Kendi Saklaman Altında Olmayan Varlıkları Korumak
Kriptoyu bir borsada tutmak, varlıklarını o şirkete emanet etmek demektir. 2022'de FTX'in çöküşü — milyarlarca dolarlık müşteri fonunun buharlaştığı olay — bu riskin en uç halini gösterdi. Ancak açık dolandırıcılık olmasa bile, borsalar sürekli hack girişimleriyle karşı karşıya kalıyor. Binance, KuCoin, Bitfinex ve sayısız başka borsa yıllar içinde hack'lendi. Bazıları kullanıcıları tazmin etti. Diğerleri etmedi veya edemedi.
Eğer kriptoyu bir borsada tutuyorsan — ve aktif trader'ların bunu yapmasının meşru nedenleri vardır — borsanın sunduğu güvenlik özelliklerini sonuna kadar kullan. İki faktörlü kimlik doğrulamayı etkinleştir, ama SMS ile değil, kimlik doğrulama uygulamasıyla. SMS tabanlı iki faktörlü doğrulama, SIM değiştirme saldırısına açıktır; bu saldırıda saldırgan telefon operatörünü numaranı kendi cihazına aktarmaya ikna eder. Google Authenticator veya Authy gibi kimlik doğrulama uygulamaları kodları cihazında yerel olarak üretir ve telefon numaran üzerinden ele geçirilemez.
Her borsa hesabı için benzersiz ve güçlü bir şifre kullan. Başka herhangi bir web sitesinde kullanılan bir şifre bir güvenlik açığıdır. Veri ihlalleri sürekli yaşanıyor ve sızdırılan şifre veritabanları suçlular arasında serbestçe paylaşılıyor. Borsa şifren, üç yıl önce hack'lenen bir forumda kullandığın şifreyle aynıysa, borsa hesabın risk altındadır. Şifre yöneticisi her site için benzersiz şifreler üretip saklar ve yeniden kullanma cazibesini ortadan kaldırır.
Borsan destekliyorsa çekim adresi beyaz listesini etkinleştir. Bu özellik çekimleri önceden onaylanmış adreslerle sınırlar ve yeni eklenen bir adresin aktif olması için bir bekleme süresi — genellikle 24-48 saat — uygular. Saldırgan borsa hesabını ele geçirse bile, kendi adresine anında çekim yapamaz. Bu gecikme, yetkisiz erişimi fark edip fonlar hareket etmeden önce hesabı kilitlemen için sana zaman tanır.
Borsanın yetki alanını ve düzenleyici durumunu göz önünde bulundur. Güçlü düzenleyici çerçeveler altında faaliyet gösteren borsaların uygun karşılıkları tutma, sağlam güvenlik önlemleri uygulama ve sorun yaşandığında başvuru yolu sunma olasılığı daha yüksektir. Bu onları sorunlara karşı bağışık yapmaz, ancak düzenlenmiş kurumlar fonları kötü yönetmenin düzenlenmemiş platformların karşılaşmadığı sonuçlarıyla yüzleşir. FTX sonrasında, karşılık kanıtı ve düzenleyici uyum, ücret yapıları veya token çeşitliliğinden daha önemli seçim kriterleri haline geldi.
Oltalama: Herkese İşleyen Saldırı
Oltalama (phishing), kripto sahiplerine karşı en başarılı saldırı vektörüdür. Şifrelemeyi kırmak veya kod açıklarını istismar etmekle değil, gerçekte ne olduğunu anlasaydın asla yapmayacağın bir eylemi seni kandırarak yaptırmakla çalışır. Kripto oltalama saldırılarının sofistikasyonu dramatik biçimde arttı. Gerçek DeFi protokollerine piksel piksel özdeş sahte web siteleri. Telegram ve Discord'da sana ilk yazan sahte müşteri destek temsilcileri. Kimlik bilgisi toplama sitelerine yönlendiren sahte hesap güvenliği e-postaları. Cüzdanını boşaltan sahte token onayları.
En yaygın kripto oltalama saldırısı, meşru bir protokolü taklit eden ve cüzdanını bağlamanı isteyen bir web sitesini içerir. Bağlandıktan sonra, zararsız görünen bir işlemi onaylamanı ister — token talebi, NFT basımı, cüzdan senkronizasyonu — ama aslında saldırgana tokenlarını sınırsız harcama izni verir. İşlemi cüzdanında bir airdrop talep ettiğini düşünerek onaylarsın. Saldırganın sözleşmesi, erişim izni verdiğin her şeyi anında transfer eder.
Düzenli kullandığın web sitelerini yer imlerine ekle ve onlara her zaman yer imlerin üzerinden eriş; asla e-postalardaki, tweetlerdeki, Discord mesajlarındaki veya arama motoru reklamlarındaki bağlantılardan değil. Saldırganlar popüler DeFi protokolleri için düzenli olarak Google reklamı satın alarak oltalama sitelerini arama sonuçlarında meşru sonucun üstüne yerleştiriyor. Bir DeFi protokolü için URL'yi doğrulamadan en üstteki arama sonucuna tıklamak sayısız cüzdanı boşalttı. URL çubuğuna bir saniyelik ekstra dikkat bunu tamamen önler.
Aciliyete karşı derin bir şüpheyle yaklaş. Oltalama mesajları neredeyse her zaman zaman baskısı yaratır: hesabın 24 saat içinde kilitlenecek, bu airdrop bu gece sona eriyor, hemen harekete geç yoksa fonlarını kaybedersin. Meşru protokoller bu şekilde çalışmaz. Bir mesaj sana düşünmeden hemen harekete geçmen gerektiğini hissettiriyorsa, o duygusal baskının kendisi bir uyarı işaretidir. Bir nefes al, yer imlerin üzerinden hizmete git ve uyarının gerçek olup olmadığını kontrol et. Neredeyse hiçbir zaman gerçek değildir.
Eski token onaylarını periyodik olarak iptal et. Bir DeFi protokolüyle etkileşime girdiğinde, genellikle ona tokenlarını harcama izni verirsin. O protokol daha sonra ele geçirilirse, bu onaylar bir güvenlik açığına dönüşür — ele geçirilen sözleşme, onayladığın tokenları boşaltabilir. Revoke.cash gibi araçlar, cüzdanın için tüm aktif token onaylarını görüntüleyip iptal etmeni sağlar. Onaylarını aylık olarak gözden geçirmek ve artık ihtiyacın olmayanları iptal etmek, potansiyel saldırı yüzeylerini kapatan basit bir bakım işlemidir.
Akıllı Sözleşme Riski: Sorun Kodun Kendisi Olduğunda
Tüm güvenlik tehditleri insan saldırganlardan gelmez. Akıllı sözleşmeler — DeFi protokollerini çalıştıran kod — fonların boşaltılmasına olanak tanıyan hatalar içerebilir. Bunlar oltalama saldırıları veya dolandırıcılık değil. İyi niyetle dağıtılan ancak yeterli test veya denetimden geçmemiş kodlardaki gerçek yazılım açıklarıdır.
DeFi tarihi akıllı sözleşme istismarlarıyla noktalanmış bir tarihtir. 2016'daki The DAO hack'i, bir yeniden giriş (reentrancy) hatası üzerinden bir Ethereum akıllı sözleşmesinden 60 milyon doları boşalttı. 2022'deki Wormhole köprü istismarı, bir imza doğrulama açığı nedeniyle 320 milyon dolar kaybettirdi. 2023'teki Euler Finance hack'i, eksik bir sağlık kontrolü yüzünden 197 milyon doları buharlaştırdı. Bu protokollerin her biri, kodun güvenli olduğunu varsayan binlerce kişi tarafından kullanılıyordu.
Solidity konusunda güvenlik uzmanlığına sahip bir geliştirici değilsen, akıllı sözleşmeleri kendin denetleyemezsin. Ama dolaylı sinyaller üzerinden riski değerlendirebilirsin. Protokol saygın bir güvenlik firması tarafından denetlenmiş mi? Ne kadar süredir önemli miktarda fonla sorunsuz çalışıyor? Kötü niyetli aktörlerden önce açıkları bulmaya teşvik eden bir hata ödül programı var mı? Kod açık kaynak mı ve blok tarayıcılarında doğrulanmış mı? Bunların hiçbiri güvenliği garanti etmez, ancak dört kutuyu da işaretleyen protokoller tarihsel olarak yıkıcı istismarlara maruz kalma olasılığı çok daha düşük olmuştur.
Herhangi bir tek protokole maruziyetini sınırla. Birden fazla denetimden geçmiş ve milyarlarca dolar mevduat barındıran savaşta test edilmiş protokoller bile sıfır olmayan akıllı sözleşme riski taşır. Tek bir protokolün ele geçirilmesinin tüm portföyünü tehdit etmemesi gerekir. Fonları her şeyi tek bir yerde yoğunlaştırmak yerine — ne kadar itibar sahibi olursa olsun — birden fazla köklü protokole yaymak, bireysel yatırımcıların akıllı sözleşme riskine karşı kullanabileceği en pratik savunmadır.
Yeni protokoller, çatallanmış (fork) kodlar ve zincirler arası köprüler konusunda özellikle dikkatli ol. Yeni protokoller zaman veya gerçek saldırı girişimleriyle test edilmemiştir. Çatallanmış kod — başka bir projenin kod tabanından kopyalanan protokoller — genellikle orijinal kodda bulunmayan yeni açıklar yaratan değişiklikler getirir. Zincirler arası köprüler, birden fazla blokzincire yayılan karmaşık akıllı sözleşme sistemlerinde devasa miktarda değer barındırır ve bu da onları hem yüksek değerli hedefler hem de teknik olarak güvence altına alınması zor yapılar haline getirir. Dolar bazında en büyük DeFi istismarları orantısız biçimde köprüleri hedef almıştır.
Sosyal Mühendislik: İnsan Odaklı Saldırı Yüzeyi
Dünyanın en teknik açıdan güvenli kurulumu bile, birisi seni bu güvenliği atlatmaya ikna ederse başarısız olur. Sosyal mühendislik saldırıları teknolojin yerine muhakemeni hedef alır ve endişe verici derecede etkilidir çünkü hiçbir güvenlik duvarının engelleyemeyeceği psikolojik baskı noktalarını — güveni, aciliyeti ve otoriteyi — istismar eder.
Discord ve Telegram'daki kripto topluluklarında sahte destek dolandırıcılıkları çok yaygın. Bir kullanıcı herkese açık bir kanalda cüzdan sorunuyla ilgili bir soru paylaşır. Dakikalar içinde birisi yardım teklif eden bir destek temsilcisi gibi davranarak özel mesaj atar. Konuşma bir bağlantıya, bir cüzdan bağlantısına veya tohum ifadesi talebine varır. Kullanıcı, kişisel ilgiden minnettar ve cüzdan sorunundan stresli, talebe uyar. Meşru projelerin gerçek destek ekipleri neredeyse hiçbir zaman özel mesaj göndermez ve kesinlikle asla tohum ifadesi veya özel anahtar istemez.
Yatırım dolandırıcılıkları açgözlülüğü ve sosyal kanıtı istismar eder. Güvendiğin — veya sosyal medya hesabı ele geçirildiği için güvendiğini sandığın — bir kişi sana bir fırsat gönderir. Garantili getiri sağlayan bir trading botu. Büyük bir borsada listelenecek bir tokenin ön satışı. Kâr ekran görüntülerinin durmadan aktığı bir grup sohbeti. Bu kurguların amacı sosyal doğrulama yoluyla şüpheciliğini devre dışı bırakmak. Gruptaki birden fazla kişi kâr gösteriyorsa, fırsat gerçek olmalı. Ama kâr gösteren grup üyeleri ya sahte hesaplar ya da suç ortaklarıdır ve akan tek gerçek para, mağdurlardan dolandırıcının cüzdanına gidendir.
Beş dolarlık İngiliz anahtarı saldırısı, varlıklı kripto sahiplerinin karşı karşıya olduğu fiziksel bir sosyal mühendislik riskidir. Önemli miktarda kripto tuttuğunu bilen ve fiziksel olarak sana erişebilen biri, şiddet tehdidiyle fon transferi yapmaya zorlayabilir. Bu risk, deneyimli sahiplerin varlıklarının büyüklüğünü asla alenen tartışmamasının, ana varlıklarını gizleyen parola ifadesi cüzdanları gibi makul inkar edilebilirlik stratejileri kullanmasının ve gerçek kimliklerini kripto adresleriyle ilişkilendirmekten kaçınmasının nedenidir. Güvenlik yalnızca dijital değildir. Varlıkların hakkında fiziksel dünyaya ne kadar bilgi ifşa ettiğini de kapsar.
Sosyal mühendisliğe karşı savunma, yavaş ve düşünülmüş karar almadır. Birisi senden kriptonu içeren bir eylem istediğinde — cüzdan bağlama, işlem imzalama, bilgi paylaşma — zorunlu bir bekleme süresi ekle. Yarın ilgileneceğini söyle. Meşru talepler 24 saatlik gecikmeye dayanır. Dolandırıcılıklar dayanmaz, çünkü saldırgan dolandırıcılığın gerektirdiği baskıyı ve izolasyonu sürdüremez. Fırsatın kaybolacağı için bir gece üstüne yatmanın imkansız görünmesi, o fırsatın iddia ettiği şey olmadığının en güçlü sinyalidir.
Maliyeti Sıfır Olan Operasyonel Güvenlik Alışkanlıkları
Kripto faaliyetlerin için ayrı bir tarayıcı veya tarayıcı profili kullan. Günlük gezinmen — haber siteleri, sosyal medya, arkadaşlarından gelen rastgele bağlantılar — tarayıcını kötü amaçlı betiklere, izleme çerezlerine ve ele geçirilmiş reklamlara maruz bırakır. Yalnızca cüzdan etkileşimleri, DeFi protokolleri ve borsa hesapları için kullanılan ayrı bir tarayıcı profili, kripto aktiviteni günlük internet kullanımının genel tehdit ortamından izole eder. Kurulumu iki dakika sürer ve tarayıcı tabanlı saldırılara maruziyetini dramatik biçimde azaltır.
Yazılımlarını güncel tut. Cüzdan uygulamaları, tarayıcı eklentileri, işletim sistemleri ve donanım cüzdanı yazılımları (firmware), bilinen açıkları düzelten güvenlik yamaları alır. Güncel olmayan yazılım çalıştırmak, bilinen ve yayınlanmış açıklara sahip yazılım çalıştırmak demektir; saldırganlar bunları istismar edebilir. Mümkün olduğunda otomatik güncellemeleri etkinleştir ve cüzdan ile firmware güncellemelerini aylık olarak manuel kontrol et.
İşlemleri bilgisayar ekranında değil, donanım cüzdanı ekranında doğrula. Donanım cüzdanın işlem detaylarını gösterdiğinde, cihazda görüntülenen alıcı adresi ve miktarı niyetin ile karşılaştır. Bilgisayarın ele geçirilmişse, zararlı yazılım monitörde gösterilen işlemi değiştirirken donanım cüzdanına farklı bir işlem gönderebilir. Donanım cüzdanının ekranı, imzalama sürecindeki tek güvenilir gösterimdir çünkü gerçekte yürütülecek işlemi gösterir.
Farklı risk seviyeleri için ayrı cüzdanlar kullan. Nadiren işlem yapan uzun vadeli varlıklar için yüksek güvenlikli bir cüzdan tut. DeFi etkileşimleri, NFT basımı ve sık akıllı sözleşme onayı gerektiren diğer faaliyetler için ayrı bir cüzdan kullan. DeFi cüzdanı kötü niyetli bir onay veya oltalama saldırısı yoluyla ele geçirilirse, uzun vadeli varlıkların farklı bir tohum ifadesine sahip tamamen ayrı bir cüzdanda güvende kalır. Bu bölümlendirme, herhangi bir tek güvenlik olayının patlama yarıçapını sınırlar.
Önce küçük miktarlarla test et. Yeni bir adrese büyük bir transfer göndermeden önce, küçük bir test işlemi gönder ve doğru ulaştığını doğrula. Test işleminin gas ücretine harcanan birkaç dolar, büyük bir miktarı yanlış bir adrese, fon iade etmeyen bir sözleşme adresine veya aslında kontrol etmediğin bir cüzdana göndermenin potansiyel kaybının yanında önemsizdir. Bu basit alışkanlık insanları altı haneli hatalardan kurtarmıştır.
Ele Geçirildiğinde Ne Yapmalısın
Cüzdanının veya borsa hesabının ele geçirildiğinden şüpheleniyorsan, hız her şeyden önemlidir. Her düşünme saniyesi, saldırganın ek varlıkları boşaltmak için kullandığı bir saniyedir. Ele geçirme bir sıcak cüzdanı içeriyorsa, kalan tüm varlıkları hemen farklı bir tohum ifadesine sahip yeni bir cüzdana aktar. Ele geçirilen cüzdanı düzeltmeye veya güvence altına almaya çalışma. Zaten kaybedilmiş durumdadır. Tüm enerjini hâlâ erişilebilir olan her şeyi saldırganın kontrol etmediği bir cüzdana taşımaya odakla.
Bir borsa hesabı ele geçirildiyse, borsanın desteğiyle hemen iletişime geç ve hesap dondurma talep et. Şifreyi, ele geçirilmiş olabilecek cihazdan farklı bir cihazdan değiştir. Aynı şifreyi başka hizmetlerde de kullandıysan, onları da hemen değiştir. Olayı yerel kolluk kuvvetlerine bildir — kurtarma olasılığı düşük olsa da, raporlar organize suç operasyonlarına karşı dava oluşturmaya yardımcı olur ve gelecekteki mağdurlara fayda sağlayabilir.
Her şeyi belge. Cüzdanını boşaltan işlemlerin ekran görüntüsünü al. Fonların gönderildiği adresleri kaydet. Saldırganla herhangi bir iletişim varsa kaydet. Bu bilgiler kolluk kuvvetleri raporları, borsa iş birliği talepleri ve çalınan fonları takip eden blokzincir analiz firmaları için faydalıdır. Bazı büyük hırsızlık mağdurları, saldırganı tespit eden zincir analizi sayesinde fonlarını geri kazandı; ancak bu istisnadır, kural değil.
Ele geçirme sonrasında nasıl olduğuna dair kapsamlı bir inceleme yap. Bir oltalama bağlantısı mıydı? Ele geçirilmiş bir tohum ifadesi mi? Kötü niyetli bir token onayı mı? Borsa kimlik bilgisi ihlali mi? Spesifik saldırı vektörünü anlamak, aynı hatanın yeni cüzdanında tekrarlanmasını önler. Oltalama saldırısıyla kripto kaybedip saldırı yöntemini anlamadan yeni cüzdan kuran birçok kişi, açığı yaratan davranış hiç ele alınmadığı için aylar içinde benzer bir saldırıya düşer.
Güvenlik ile Kullanılabilirliği Dengeleyen Bir Kurulum Oluşturmak
Mükemmel güvenlik kriptoyu kullanılamaz hale getirir. Kurulumun o kadar kilitliyse ki protokollerle etkileşime giremiyorsan, işlem gönderemiyorsan veya fonlarına rahatça erişemiyorsan, eninde sonunda zaman kazanmak için kısa yollar keseceksin ve o kestirme yollar güvenlik açıklarına dönüşecek. Amaç maksimum güvenlik değil. Amaç varlıklarına ve aktivite seviyene orantılı bir güvenliktir.
1.000 doların altındaki varlıklar için, yazılı tohum ifadesi yedeği ve borsa hesaplarında iki faktörlü kimlik doğrulama ile bakımı yapılan bir sıcak cüzdan makul güvenlik sağlar. Bu seviyedeki kayıp riski, tam bir donanım cüzdanı kurulumunun maliyetini ve karmaşıklığını haklı çıkarmaz — yine de bütçe izin veriyorsa bir tane edinmek tavsiye edilir.
1.000 ile 50.000 dolar arasındaki varlıklar için saklama amaçlı donanım cüzdanı zorunlu hale gelir. Aktif olarak işlem yapmadığın veya DeFi'de kullanmadığın tüm varlıklar için donanım cüzdanını kullan. Günlük etkileşimler için sınırlı fonla bir sıcak cüzdan tut. Borsa hesaplarındaki tüm güvenlik özelliklerini etkinleştir. Tohum ifadesi yedeğini güvenli bir konumda metal üzerinde sakla. Bu kurulumun uygulanması bir öğleden sonra sürer ve saldırı vektörlerinin büyük çoğunluğuna karşı koruma sağlar.
50.000 doların üzerindeki varlıklar için, işlemlerin onaylanması adına birden fazla cihaz veya taraf gerektiren çoklu imza (multisig) cüzdanları ekle. Tohum ifadesi yedeklerinin coğrafi dağılımını değerlendir. Kripto işlemleri için ayrı bir cihaz kullan. Kişisel kimliğinin blokzincir adreslerinle bağlantılı olup olmadığını değerlendir ve gerekiyorsa ikisini ayırmak için adımlar at. Bu seviyede güvenliğinin sofistikasyonu, büyük varlıkların çektiği tehditlerin sofistikasyonuyla eşleşmelidir.
Varlıklarının büyüklüğü ne olursa olsun, en önemli alışkanlık dikkattir. İmzalamadan önce neyi imzaladığını oku. Göndermeden önce adresleri doğrula. Aciliyet yaratan mesajları sorgula. Tohum ifadeni çevrimdışı tut. Bu davranışların maliyeti sıfırdır, teknik bilgi gerektirmez ve insanların kriptosunu gerçekten çalan saldırılara karşı savunma sağlar. Pahalı donanımlar ve karmaşık kurulumlar, paranla ne yaptığına dikkat etmenin temel disiplinine kıyasla ikinci plandadır.
Güvenlik kurulumunu altı ayda bir gözden geçir. Yeni saldırı yöntemleri ortaya çıkıyor. Yazılımlar güncelleniyor. Varlıkların büyüyor ve risk profilin değişiyor. 500 dolarlık kripto tutarken uygun olan bir güvenlik kurulumu, portföy 15.000 dolara ulaştığında tehlikeli biçimde yetersiz kalabilir. Güvenliği portföyünle birlikte gelişen süregelen bir pratik olarak ele al, bir kere tamamlayıp unuttuğun bir kontrol kutusu olarak değil. Periyodik güvenlik incelemelerine harcanan birkaç saat, inşa ettiğin her şeyin sürekli güvenliğine yapılan bir yatırımdır.