Haberler 
Coin Bilgisi 
Hakkımızda 
Donanım cüzdanlarının güvenliği tehlikeye girmeye başladı. Özellikle, firmware (yazılım) güncellemesi gibi çoğu kişinin önemsemediği bir detayın *riskli bir unsur* olabileceğine dair uyarılar yapılıyor. Bir zamanlar kullanıcı varlıklarının güvenli limanı olarak görülen donanım cüzdanlarının, aslında saldırıya açık *zayıf bir giriş noktası* haline gelebileceği öne sürülüyor.
Kripto güvenlik şirketi TBCC'nin teknoloji sorumlusu Igor Zemtsov(İgor Zemtsov), donanım cüzdanlarındaki firmware güncellemelerinin yalnızca birer iyileştirme olmadığını; tersine, *kötü niyetli aktörler tarafından istismar edilebilecek bir arka kapı* haline gelebileceğini belirtti. Zemtsov'a göre kullanıcılar, üreticinin sunduğu yeni güncellemeyi yüklemeyi mi tercih etmeli, yoksa eski sürümde mi kalmalı ikileminde bırakılıyor ve her iki yol da *varlık hırsızlığı* riski taşıyabiliyor. Zemtsov, “Kripto dünyasında yanlış bir tercih, cüzdanın boşalmasıyla sonuçlanabilir” diyerek bunun ciddiyetini vurguladı.
Bu endişeler yalnızca varsayımsal değil; daha önce ciddi örnekler yaşandı. Dünyanın en büyük donanım cüzdan üreticilerinden biri olan Ledger, 2018’de güvenlik uzmanı Saleem Rashid(Salim Raşid)’in kritik bir güvenlik açığını ifşa etmesiyle güven sorunları yaşamıştı. Bahsi geçen açık sayesinde firmware, kötü amaçlı yazılıma dönüştürülebiliyor ve kullanıcıların özel anahtarları çalınabiliyordu. O dönemde yaklaşık 1 milyon cihaz tehlike altındaydı.
Benzer bir olay 2023’te donanım cüzdan markası OneKey’de de yaşandı. Beyaz şapkalı hacker’ların yalnızca birkaç saniyede firmware’in güvenliğini aşarak cüzdana erişmeleri mümkün oldu. Olayda herhangi bir zarar oluşmadı ancak eğer bu zafiyeti *kötü niyetli kişiler* önce yakalasaydı, sonuçlar çok farklı olabilirdi. Üstelik “Dark Skippy” olarak bilinen yeni nesil saldırı yöntemi, sadece iki imzalı işlem sonrasında kullanıcıların geri yükleme ifadelerini çalabilecek kadar gelişmiş durumda.
Bu tehditlere karşı bazı donanım cüzdan üreticileri, firmware güncellemelerini tamamen devre dışı bırakan bir yaklaşım benimsemeye başladı. Örneğin Tangem, kutudan çıktığı andan itibaren yazılım değişikliğine izin vermeyen ürünler sunuyor. Böylece güncellemeler üzerinden gelebilecek riskler *tamamen engellenmiş* oluyor. Elbette bu yöntemin de bir dezavantajı var: Eğer yazılımda bir açık varsa, güncelleme imkânı olmadığı için düzeltme yapılamıyor. Zemtsov ise “Güvenlikte en önemli şey, yapının öngörülebilir olmasıdır” diyerek, değiştirilemez sistemlerin beklenmedik saldırılara karşı daha dirençli olabileceğini savunuyor.
Mart ayı itibariyle kripto para piyasasının toplam değeri yaklaşık 2,79 trilyon dolar (yaklaşık 4.071 trilyon won) seviyelerinde. Böylesine büyük bir pazarda faaliyet gösteren donanım cüzdanı firmalarının, *hükümetler veya siber saldırganlar* için cazip hedefler haline gelmemesi düşünülemez. Zemtsov bu noktada, firmaların yeni özellikler eklemek veya kullanıcı deneyimini daha akıcı hale getirmek yerine, kullanıcıya *gerçek güvenlik kontrolünü* sunmaya odaklanmaları gerektiğine dikkat çekiyor.
Son olarak Zemtsov, “Güvenlik konforla değil, kontrolle başlar” diyerek, güncelleme süreçlerinin şeffaf olmaması ya da dış geliştiricilere güven esaslı olması halinde bir sistemin asla gerçekten güvenli sayılmayacağını söyledi. Donanım cüzdanı tercihi yaparken yazılım geliştiricilerin geçmişi, daha önce yaşanan güvenlik olaylarına verdikleri tepkiler, topluluk tarafından yapılan değerlendirmeler gibi somut verilere dayanarak seçim yapılması gerektiğini vurguladı. Güvenlik, *varsayımlara değil*, *doğrulanabilir gerçeklere* dayanmalıdır.
Yorum 0