Kripto Cüzdan Güvenliği İçin Nelere Dikkat Etmeliyiz
Kripto para veya kripto varlık teknik olarak bir blokzincir ağındaki bloklara yazılmış olan verilerden oluşuyor. Yazımızda kripto para demeyi tercih edeceğiz ve maddi değere sahip bu veriyi nasıl koruyacağınıza, gizliliğini ve güvenliğini nasıl sağlayacağınıza ilişkin önemli ipuçlarını sizinle paylaşacağız. Geleneksel finans hizmetlerinde yapılacak bir hatanın telafisi mümkün olabiliyorken kripto para dünyasında yapılacak çok basit bir hata tüm paranızı geri döndürülemez şekilde kaybetmenize neden olabilir.
Kripto paralar teknik olarak cüzdanlarda değil kendi blokzincir ağlarında saklanır. Cüzdanlarda sadece işlemleri dijital olarak imzalamamızı sağlayan özel anahtarlar (private key) saklanır. Binance gibi merkezi borsalardaki hesabınızla işlem yapıyorsanız, bu borsalar özel anahtarları size vermez, kendisinde saklar. Borsa hacklenirse veya yöneticileri sistemi kapatıp giderse fonlarınızı kaybetme riskiniz vardır. Kripto para sahipliği esasında işte bu özel anahtarlara sahip olmaktır, dolayısıyla merkezi borsa hesabınızda gördüğünüz kripto paralar teknik olarak size ait değildir denilebilir.
Özel anahtarların sadece sizde bulunduğu Metamask veya Phantom gibi sıcak cüzdanlar (hot wallet) bu yüzden yaygın olarak kullanılır, bu cüzdanlar aynı zamanda DeFi, NFT ve metaverse dünyasında işlem yapmanızı ve blokzincir ağlarıyla etkileşim kurmanızı sağlar. Ayrıca bu özel anahtarlar Ledger veya Trezor gibi çevrimdışı soğuk cüzdanlarda (cold wallet) da saklanabilir ki şu an için en güvenilir yöntem de budur. Cüzdanların nasıl çalıştıklarını merak ediyorsanız basit bir şekilde şu bağlantıda anlatılmış. Şimdi sıcak cüzdan kurulumundan başlayarak mevcut risklere ve alabileceğimiz tedbirlere bakalım:
1. Öncelikle işletim sistemi ve yüklü diğer yazılımlar bakımından güvenli bir bilgisayarda işlem yaptığınızdan emin olmanız gerekir, paylaşımlı bilgisayarlarda ve açık kablosuz ağa bağlı bilgisayarlarda işlem yapmak güvenlik riski yaratabilir. Mümkünse hem cüzdanınıza hem de borsa hesabınıza bağlanmak için ayrı bir bilgisayara sahip olun. Kurulumu mobil telefonda yapmak yerine temiz bir bilgisayarda yapmanız daha güvenlidir.
2. Cüzdan kurulumu veya diğer borsa işlemleri için varsayılan olmayan ayrı bir web tarayıcı kullanın. Tarayıcıda da güvenilir bir reklam engelleyici bulunması hatta Brave Browser (buradan inceleyebilirsiniz) gibi varsayılan ayarlarıyla phishingi, kötü amaçlı yazılımları ve zararlı reklamları engelleyen gizlilik odaklı tarayıcılar tercih etmek daha sağlıklı olur. Tarayıcıya yükleyeceğiniz uzantıların kaynağını teyit etmeniz çok önemlidir, bu yolla cihazınıza zararlı yazılım girmesi oldukça yüksek ihtimaldir.
3. Kurulum yapacağınız cüzdan sitesine Google vb. gitmektense tarayıcınızın adres satırına URL adresini yazarak direkt ulaşın. Arama motorlarında sahte reklamlarla çok fazla kimlik avı yaşanıyor. Örneğin phantom.app’a gitmek için, phantom yazdığınızda sahte reklamlar sizi tuzağa çekebilir. Gerçeğine benzeyen sahte sitede siz cüzdan oluşturduğunuzu sanarken, size kendi bildikleri kurtarma kelimelerini (seed phrase) verip, şifrenizi belirletip ve sonrasında da sizi gerçek siteye yönlendirip kendi kontrol ettikleri cüzdanla oturum açmanızı bekliyorlar. Size ait olduğunu sandığınız cüzdana para geldiğinde veya belirledikleri bir zamanda cüzdanınız boşaltılıyor. Bu yüzden sonuçlardaki ve adres satırındaki harf oyunlarına, URL’ye daima dikkat edin. Hesabınızın olduğu her yere girerken bu olasılık vardır. İşleyiş videoda gösteriliyor. Sahte reklamlar arasında bile bir rekabet yaşanıyor.
4. Cüzdan açarken size verilen kurtarma kelimelerini (seed pharese) bir kağıda yazıp saklamak en güvenilir yöntem. Ekran görüntüsü almak, cihazınızın not defterine vb. yazarak çevrimiçi ortamda gizlilik ihlali yaratabilir. Galeri ve dosyalara erişim iznine sahip casus yazılım barındıran uygulamalar bunları algılayıp siz farkında olmadan sızdırabiliyor. Uygulama izinlerini mutlaka gözden geçirin, gereksizleri ve güvenmediklerinizi kaldırın. Kurtarma kelimlerinin peşinde olan uygulamalar ve internete yüklenmelerini izleyen botlar olduğunu asla unutmayın, burada bir örnekte bu yolla nasıl ele geçirildiği anlatılıyor. Mümkünse cüzdanınızı çoklu imza (multi-sig) ile yönetin.
5. Not ettiğiniz gizli kurtarma kelimelerini kaybederseniz veya unutursanız cüzdanınıza bir daha asla erişemezsiniz. Başka biri bunu öğrenirse cüzdanınızın kontrolü tamamen ona geçer. Bu yüzden seed ve şifrenizi asla ama asla kimseyle paylaşmayın, herhangi bir web sitesine girmeyin, bunları yapmanızı isteyenlerin dolandırıcı olduğuna inanın. Telegram, Discord, Twitter vb. platformları üzerinden gönderilen DM’ler ile oldukça fazla kullanıcı bilgisi ele geçiriliyor. Size yardım ediyor gibi görünüyorken seed veya şifrenizi direkt isteyebilecekleri gibi sizi oltalamak (phishing) için tasarlanmış sitelere de yönlendirip oturum açmanızı isteyebilirler. Bu yüzden ”giveaway” ”support” vb. konularla size gönderilen bağlantılara, formlara vb. tıklamayın.
Örneğin Telegram kanallarının aslının en ince detayına kadar (adminler, sabit mesajlar, içerikler vb.) taklit edildiği sahteleri de var. Size VIP üyelik, özel bir ön satış teklifi veya çekiliş içeren bir mesaj atarak sahte kanala davet edebilirler, bu yüzden grup davetlerini sadece kişilerim olarak ayarlayabilirsiniz. Bununla birlikten kanal gönderisi gibi en altta duran sponsorlu/reklam içerikleri de sizi yanıltabilir, artık her isteyen Telegram’da reklam yayınlatabiliyor. Ayrıca veri ve depolama ayarlarınızdan otomatik dosya indirmeyi devre dışı bırakmak, şüpheli kaynaktan gelen dosyaların da direkt olarak indirmesini engellemiş olur.
6. Metamask vb. gibi sıcak cüzdanlar size asla e-posta atmaz çünkü e-posta adres bilginize sahip değillerdir. Buralardan geliyormuş gibi görünen e-postaların phishing girişimleri olduğunu unutmayın. Binance’in şu yazısında kimlik avı e-postalarına örnekler var. Borsalar ile ilişkili e-posta adresinizi ICO’lar vb. whitelistler, mail bültenleri vb. yerlerde kullanmak yerine bunlar için ayrı bir e-posta adresi kullanmanız daha güvenli olur çünkü e-posta adresiniz burlardan sızdırılabiliyor. E-postanın göndericisini ve size ilettikleri bağlantıları tıklamadan önce daima kontrol etmek, ek varsa göndericiyi doğrulamadan kesinlikle cihaza indirip açmamak gerekiyor. Have i been pwned sitesinden kullandığınız mail adreslerinin, başka platformlar tarafından internete sızdırılıp sızdırılmadığını kontrol edebilirsiniz. Ayrıca cüzdanınızla aktif işlem yapmadığınız anlarda kapalı tutun, siz başka internet sitelerinde gezinti yaparken, girdiğiniz bazı siteler cüzdan adresiniz öğrenmeye çalışıyor olabilir.
7. Airdroplar, whitelistler, testler veya NFT mintleri gibi işlemlere katılıyorsanız, bu işlemleri yapmak için ayrı bir cüzdanınız olsun çünkü bu işlemler sırasında cüzdan adresiniz açığa çıkıyor. Kripto paralarınızı saklamak için en güvenilir yöntem soğuk cüzdanlar olsa da eğer sahip değilseniz mutlaka temiz bir sıcak cüzdan daha kullanın ve fonlarınızı burada saklayın.
8. Metamask gibi merkeziyetsiz cüzdanlar ile bağlantı kurulacak sitelere veya projelere çok dikkat etmek gerekiyor. Bunların güvenilir olup olmadığını coinmarketcap.com ve coingecko.com gibi platformlar üzerinden araştırabilirsiniz. Daha önce çeşitli sebeplerle bağlandığınız siteleri, cüzdan ayarlarınızdan kontrol edip, kullanmadığınız sitelerin bağlantısını kaldırabilirsiniz.
Cüzdanınızda nereden geldiğini anlamadığınız tokenler (kripto para) görebilirsiniz, hemen heyecan yapmayın. Bunlar scam (dolandırıcılık amaçlı) olabilir ki bu şekilde çok fazla gerçekleşiyor. Siz istemeseniz de adresinize gelen tokenler olabiliyor, adresimi nereden bilip gönderecekler diye düşünüyorsanız üstte bazı işlemlerin cüzdan adresinizi açığa çıkaracağından bahsettik (adresinizi Discord, Telegram, sosyal medya vb. paylaşmak da dolandırıcılara davetiye çıkarabilir). Cüzdanınızda görünen ancak kilitli olan yani satılabilir veya transfer edilebilir olmayan bu tokenlerin kilidinin açılabilmesi için bir miktar kripto para göndermeniz ya da bir siteye girip cüzdanınızı bağlamanız ya da approval vermeniz (onay) istenebilir.
Cüzdanınıza gelen tokenlerin scam olup olmadığını analiz edebilmek için blokzincir ağına göre etherscan.io veya bscscan.com vb. gibi analitik araçlarıyla bu tokenlerin kontratlarını inceleyin, şüpheli olanlarla etkileşime girmeyin ve daha önce approval verdikleriniz varsa revoke edin (kaldırın). Swap işlemleri yaparken bilerek veya bilmeyerek bazı token izinleri vermiş olabilirsiniz, cüzdanınızı güvenli tutabilmek için, kontrol edin ve gereksiz izinleri revoke edin. Çünkü etkileşime girdiğiniz bu akıllı kontratlar cüzdanınızı boşaltmak üzere tasarlanmış da olabilir.
9. Transfer işlemlerinizi alıcı adresini dikkatlice kontrol ettikten sonra tek seferde yapmayın, öncelikle küçük bir miktar test için gönderin, doğru adrese ulaştığını teyit ettikten sonra da kalan transfer işlemine sonra devam edin. Yanlış adrese transfer işleminin telafisi mümkün olmadığını unutmayın.
10. Son olarak 2FA (iki faktörlü kimlik doğrulaması) özelliği bulunan tüm hesaplarınızda bu özelliği kullanmayı, her site veya uygulamada farklı şifre kullanmayı, şifre yönetimi için authenticator kullanmayı da ihmal etmeyin.
Bu yazı Ekibimizden Arif Candemir tarafından 11.02.2022 tarinde yayınlanmıştır.