Haberler 
Coin Bilgisi 
Hakkımızda 
비tcoin(BTC) gibi dijital varlıkları uzun vadeli tutanlar için artık ‘*saklama*’ kararı, yatırım performansını belirleyen ana unsur haline geliyor. Anahtarları başkasına emanet ettiğiniz anda, *hacklenme*, içerden kaynaklanan suistimaller ve *regülasyon* risklerini de birlikte üstlenmiş oluyorsunuz. Bitcoin anahtar yönetimi çözümleri sunan Casa(Casa) şirketinin kurucu ortağı ve CTO’su Jameson Lopp(Jameson Lopp), “kripto yerleşikleri için en büyük tehdit, ‘*güvenilir üçüncü taraflara*’ bel bağlayıp varlıkları kendi gözetimi altında tutmaması” diyerek bu noktaya dikkat çekiyor.
Lopp, çoklu imza(‘multisig’) güvenlik hizmeti sunan BitGo(BitGo)’da çalıştığı dönemde, bugün toplam Bitcoin işlemlerinin yaklaşık %20’sini güvence altına alan multisig altyapısının geliştirilmesinde rol aldı. Ayrıca Bitcoin ağındaki saldırı belirtilerini izleyen ‘Statoshi’ sistemini geliştiren isimlerden. Onun verdiği mesaj net: ‘*self-custody(öz saklama)*’ artık piyasanın ütopik ideali değil, bugün için son derece *gerçekçi bir hayatta kalma stratejisi*.
Kripto dünyasında risk denince çoğu kişi önce *akıllı sözleşme saldırılarını* veya zincirler arası köprü(bridge) sorunlarını düşünüyor. Lopp ise odak noktasını farklı yere koyuyor. Ona göre asıl büyük tehlike, yeni akıllı sözleşmelerden ziyade ‘*güvenilir üçüncü taraflar*’. Merkezi borsalar, saklama(custody) şirketleri ve çeşitli aracı hizmetler kullanıcıya büyük *konfor* sağlıyor ancak aynı zamanda saldırı yüzeyini de genişletiyor.
Bu tabloyu ağırlaştıran bir diğer unsur da sektördeki *maliyet baskısı*. Piyasa durgunlaştıkça ve kârlılık azaldıkça, projelerin güvenlik ve denetim harcamalarını kısmaya daha yatkın hale geldiğini söyleyen Lopp, akıllı sözleşme denetimlerinin sayısı ve kapsamı azaldıkça, yatırımcının yapısal olarak daha yüksek *belirsizlik* üstlendiğini vurguluyor. Dışarıdan bakıldığında olgun ve güvenli görünen hizmetler bile, içerideki kontrol ve güvenlik bütçeleri zayıfladığında her an kırılgan hale gelebiliyor.
Lopp’un tekrar tekrar altını çizdiği bir diğer kavram ise ‘*mahremiyet(privacy)*’. Ona göre mahremiyet, kripto ekosisteminde güvenliğin ‘*en dış katmanı*’. *Hedef olmamak* en iyi savunma; bunun arkasından gelen ise dijital korunma önlemleri. İnternette servet, cüzdan hareketleri ve ikamet bilgileri birbirine bağlandığı anda, saldırganların gözünde kişi ‘*nakde çevrilebilir bir hedef*’ haline geliyor.
Dijital çağda mahremiyetin yapısal olarak zayıfladığına dikkat çeken Lopp, sızıntıya uğramış veriler, adres–telefon–e‑posta gibi parçalı bilgiler ve sosyal medya paylaşımlarının bir araya gelmesiyle kişilerin kolayca tespit edilebildiğini söylüyor. Yorum Mahremiyet ihlalleri, kriptoda sadece soyut bir etik tartışma değil, doğrudan fiziksel ve mali güvenliğe dokunan bir mesele haline gelmiş durumda yorum
Öz saklama tercih eden bireyler için en olası saldırı tipi, Lopp’a göre ‘*phishing(sosyal mühendislik dolandırıcılığı)*’. E‑posta, mesajlaşma uygulamaları ve sosyal ağlar, doğaları gereği kimlik doğrulama açısından zayıf ve taklide açık kanallar. Lopp, “şüpheli görünen hiçbir gelen mesajı *doğrudan* ciddiye almamak” gerektiğini, özellikle link tıklamanın pek çok vakanın başlangıç noktası olduğunun altını çiziyor.
Dolandırıcılar bugün tanınmış markaları, cüzdan uygulamalarını veya borsaları son derece başarılı biçimde taklit ederek kullanıcılardan *izin(permission)* koparmaya çalışıyor. Tek bir onay tuşuyla token transfer yetkisi karşı tarafa geçtiğinde, çoğu kullanıcı varlıkları boşaldıktan sonra ne olduğunu fark ediyor. Lopp’a göre “dolandırıcılar, güçlü itibarı olan markaları taklit ederek kullanıcıyı yetki vermeye ikna ediyor, sonra da bu yetkileri kullanarak varlıkları çalıyor.” Bu nedenle dijital güvenlik önceliğinin, ‘*phishing’e düşmemeyi alışkanlık haline getirmek*’ üzerine kurulması gerektiğini belirtiyor.
Donanım cüzdanı kullananlar da tam güvende sayılmaz. Saldırganlar, özel anahtarları koruyan cihazları veya bunlara bağlı bilgisayarları *zararlı yazılımlarla(malware)* enfekte etmeye çalışıyor. Lopp, anahtarın kullanıldığı ortamı *olabildiğince sade* tutmanın ve saldırı yüzeyini küçültmenin önemini vurguluyor. ‘Kullanışlı özellikler’ arttıkça potansiyel açıkların da arttığını hatırlatıyor.
Öte yandan öz saklama çoğu zaman teknik olmaktan çok ‘*insan performansı*’ ile ilgili bir mesele. Seed cümlesi yedekleme, gönderim adresi kontrolü, verilen onayların kapsamını inceleme gibi rutinler, düşük konsantrasyon anlarında kritik hatalara yol açabiliyor. Lopp, zincir üstü(‘on-chain’) işlemlerde “*asla acele etmemek*” gerektiğini, duygusal dalgalanma veya zaman baskısı altında yapılan tek bir tıklamanın ciddi kayıplara dönüşebileceğini söylüyor.
Kripto güvenliğinin bir diğer boyutu da ‘*fiziksel tehditler*’. Lopp’a göre, ev baskınıyla anahtarların zorla ele geçirildiği veya kaçırma yoluyla fidye istendiği vaka sayısı artış eğiliminde. “Kripto sektöründeki isimlere dönük saldırılar, sık sık fidye amacıyla kaçırmaları da içeriyor” diyen Lopp, yüz yüze ve yüksek tutarlı OTC(tezgâh üstü) işlemlerin yoğun olduğu bölgelerde riskin daha yüksek olduğuna dikkat çekiyor.
Burada kritik nokta, fiziksel saldırıların sadece öz saklama yapanları değil, *varlıklı olduğu düşünülen herkesi* hedef alabilmesi. Varlıklar saklama kurumunda bulunsa bile, kişi zengin olarak işaretlendiği anda saldırgan için hedef haline geliyor. Dolayısıyla esas amaç, sistemdeki ‘*tekil hata noktalarını(single point of failure)*’ ortadan kaldırmak. Yani bir kişinin etkisiz hale getirilmesiyle tüm varlıkların anında ele geçirilemeyeceği bir yapı kurmak gerekiyor.
Lopp, pratik bir çözüm olarak ‘*3 cüzdan stratejisi*’ öneriyor. Temel fikir, tüm varlıkları tek bir cüzdanda toplamak yerine, tutar ve kullanım amacına göre bölerek olası bir olay anında zararın alanını daraltmak. Örneğin günlük harcamalar ve deneme amaçlı transferler için *sıcak cüzdan(hot wallet)* kullanılırken, uzun vadeli birikimler ağdan izole *soğuk cüzdanda(cold wallet)* tutuluyor. Araya bir ‘orta kademe’ cüzdan eklemek veya multisig ile dağıtmak, tek bir phishing saldırısı, tek bir kullanıcı hatası ya da tek bir cihaz arızasında tüm servetin tehlikeye girmesini önlemeye yardımcı oluyor.
Lopp ayrıca, sadece ETF alarak kriptoya maruz kalmanın ‘*dijital varlığa sahip olma anlamını*’ zayıflattığını düşünüyor. Ona göre öz saklamanın hedefi, sadece fiyat hareketine maruz kalmaktan ibaret değil; asıl mesele, bireyin kendi ‘*finansal egemenliğini(financial sovereignty)*’ elinde tutması.
Somut korunma adımları arasında, gelen linklere tıklamak yerine adresi tarayıcıya kendiniz yazma alışkanlığı, *şifre yöneticisi(password manager)* kullanımı ve donanımsal güvenlik anahtarları(YubiKey vb.) öne çıkıyor. Özellikle SMS tabanlı iki aşamalı doğrulamanın zayıf olduğunu ve mümkün oldukça kaçınılması gerektiğini vurgulayan Lopp, e‑posta hesabının çoğu kişi için dijital hayatın ‘*üst düzey anahtarı*’ haline geldiğini, bu yüzden önce e‑posta güvenliğinin sağlamlaştırılması gerektiğini hatırlatıyor.
Daha güçlü bir koruma arayanlar için Lopp, ‘*imza için ayrılmış özel cihaz*’ kullanımını da bir seçenek olarak sunuyor. İşlemi oluşturan cihaz ile imzayı atan cihaz ayrıldığında, çevrim içi bir enfeksiyon yaşansa bile özel anahtarların ele geçirilme ihtimali önemli ölçüde azalıyor.
Lopp’a göre öz saklama, kriptonun ‘*nihai oyun sonu(end game)*’ senaryosu olmaya devam ediyor. Ancak insan doğası gereği *kolay olanı* seçmeye meyilli olduğu için, yaygınlaşmasının önünde ciddi engeller var. Sektörün çözmesi gereken temel problem, güvenliği artırırken kullanımı da *basitleştirmek*. Eğer kullanıcılar sadece zahmetten kaçmak için tekrar ‘*güvenilir üçüncü taraflara*’ yetki devrederse, kriptonun sunduğu finansal egemenlik vaadi giderek anlamını yitirebilir.
Piyasa artık sadece fiyat artışını değil, aynı zamanda *saklama yöntemini*, *mahremiyeti* ve *dijital/fiziksel güvenliği* beraber düşünmeyi gerektiriyor. Öz saklama yaygınlaştıkça phishing, sosyal mühendislik ve fiziksel saldırı gibi ‘*gerçek dünya riskleri*’ daha görünür hale geliyor. Bu nedenle hem yatırımcıların hem de kullanıcıların, güvenlik modellerini en az bir kademe yukarı taşımalarının zamanı geldiği uyarısı yapılıyor.
Yorum 0