Bir kripto portföy takipçisi, cüzdanlarınızdan ve borsalarınızdan bakiyeleri ve işlem geçmişini çekerek her şeyi tek bir yerde görmenizi sağlayan bir yazılımdır; ancak asıl soru özellikler değil, güvendir. Herhangi bir aracı bağlamadan önce gerçekten yalnızca salt okunur erişim istediğini doğrulamanız, varlıkları nasıl fiyatlandırdığını kontrol etmeniz, verilerinizi dışa aktarıp aktaramayacağınızı onaylamanız ve satıcının daha önce herhangi bir ihlale uğrayıp uğramadığını incelemeniz gerekir.
Öne çıkanlar
- En önemli tek kontrol, takipçinin gerçek salt okunur erişim (herkese açık adresler, yalnızca görüntüleme API anahtarları) kullanıp kullanmadığı ya da sizden mesaj imzalamanızı veya tohum ifadesini vermenizi isteyip istemediğidir.
- Bir takipçinin varlıklarınızı nasıl fiyatlandırdığı (CEX API'leri, zincir üstü oracle'lar, manuel geçersiz kılma), raporlanan portföy değerinizin doğruluğunu önemli ölçüde değiştirir.
- Verileriniz taşınabilir kalmalıdır: CSV veya API ile dışa aktarma seçeneği arayın ve sizi kilitleyen takipçileri uzun vadeli bir risk olarak değerlendirin.
- 2023'teki CoinStats ihlali, ele geçirilmiş bir satıcı hesabının ardından yaklaşık 1,5 milyon cüzdanı ifşa etti; bu nedenle ihlal geçmişi, özellik listeleri kadar önemlidir.
Seçtiğiniz takipçi neden büyük ölçüde bir güvenlik kararıdır
İki veya üç zincirin yanı sıra birkaç merkezi borsa hesabında varlık tutuyorsanız, bir portföy takipçisi yaşam kalitesi yükseltmesi gibi görünür. Cüzdanlarınızı bağlarsınız, borsanızın salt okunur API anahtarlarını bağlarsınız ve aniden toplam net değeri, dağılımı ve performansı gösteren tek bir panele sahip olursunuz. Çoğu inceleme sitesi bunu grafik, uyarı ve vergi dışa aktarma karşılaştırması olarak ele alır. Bu çerçeve asıl meseleyi ıskalar.
Bir portföy takipçisi, tanım gereği, en çok önemsediğiniz adreslere ve hesaplara görünürlük kazanan üçüncü bir taraftır. Son birkaç yıldaki hırsızlıklar, kimlik avı kampanyaları ve cüzdan boşaltma kötü amaçlı yazılımları, kriptoda en zayıf halka zincirin kendisi değil, insanların salt okunur erişim, imzalama yetkisi ya da daha kötüsü saklama için güvendiği zincir dışı hizmetler olduğunu tekrar tekrar göstermiştir. İhtiyacından fazlasını isteyen bir takipçi, tüm pozisyonunuz genelinde tek bir arıza noktası haline gelebilir.
Bu nedenle bir takipçiyi değerlendirmenin en yararlı yolu, özellik karşılaştırması kılığına girmiş bir güvenlik incelemesi olarak ele almaktır. Uyarılar, DeFi pozisyon takibi ve vergi raporları dahil işaretlediğiniz her onay kutusu, satıcının görebileceği şeyleri ve satıcı ele geçirilirse neler olacağını da genişletir. Bu makalenin geri kalanını bir kontrol listesi olarak değerlendirin, ancak güvenlik sorularını pazarlığa kapalı olarak ele alın.
Salt okunur erişim ve cüzdanları sessizce boşaltan izinler
Bu alandaki en önemli tek ayrım, gerçek salt okunur erişim ile salt okunur gibi görünen ama olmayan birçok cüzdan bağlantısı türü arasındadır. Meşru bir salt okunur bağlantı iki şekilde çalışır. Öz denetimli bir cüzdan için takipçi ya yapıştırdığınız herkese açık adresi izler ya da adres üzerinde herhangi bir zincir üstü yetki vermeden kontrolün sizde olduğunu kanıtlayan bir cüzdan imzası kullanır. Bir borsa hesabı için yalnızca okuma izinleriyle, işlem ve çekim yapma yetkisi olmadan bir API anahtarı oluşturursunuz.
Bunun ötesindeki her şey kırmızı bayraktır. Özellikle üç kalıba dikkat edin.
- Tohum ifadesi veya özel anahtar istekleri. Hiçbir meşru takipçinin bunlara ihtiyacı yoktur. Bir araç bunları isterse sekmeyi kapatın. Tohum ifadesi talep eden araçlar neredeyse her zaman dolandırıcılıktır ya da en iyi ihtimalle takipçi kılığında saklama cüzdanlarıdır.
- Token onayları içeren Cüzdanla Oturum Açma istemleri. Cüzdan tabanlı oturum açma (genellikle Sign in with Ethereum veya benzeri olarak etiketlenir) genellikle adres sahipliğini kanıtlayan ve başka bir şey yapmayan bir imza üretir. Kötü amaçlı bir sürüm aynı akışa bir ERC-20 onayı veya setApprovalForAll çağrısı ekleyerek dApp'ye belirli token'ları veya NFT'leri taşıma izni verecektir. İmzalamadan önce imza isteğini satır satır okuyun.
- Çekim izni açık borsa API anahtarları. Meşru borsalarda bile bir API anahtarı oluştururken genellikle okuma, işlem ve çekim için geçiş düğmeleri görürsünüz. Bir takipçi için tek doğru ayar okumadır. Çekim kapalı olmalıdır ve ideal olarak borsa destekliyorsa anahtar, takipçinin sunucularıyla IP kısıtlamalı olmalıdır.
- Güvenilir takipçiler, bağlantının salt okunur doğasını belgelerinde açıkça belirtir. Bağlantının neler yapıp neler yapamayacağına dair net bir açıklama bulamıyorsanız, bu kendi başına bir sinyaldir. Güven, kod kadar belgelerle de kazanılır.
Güvenilir takipçiler, bağlantının salt okunur doğasını belgelerinde açıkça belirtir. Bağlantının neler yapıp neler yapamayacağına dair net bir açıklama bulamıyorsanız, bu kendi başına bir sinyaldir. Güven, kod kadar belgelerle de kazanılır.
İzleyiciler varlıklarınızı nasıl fiyatlandırır ve neden iki izleyici %10 farklı olabilir?
Bir izleyici bakiyelerinizi aldığında, bunları tanıdığınız bir sayıya dönüştürmesi gerekir. Üç yaygın yaklaşım vardır ve her birinin bilmeniz gereken kendine özgü başarısızlık modları vardır.
Merkezi borsa API fiyatlandırması. İzleyici fiyatları Coinbase veya Binance gibi büyük merkezi borsalardan çeker. Bu yöntem basittir ve genellikle BTC ve ETH gibi üst sıradaki token'lar için doğrudur, ancak borsanın kendine özgü sorunlarını da miras alır: sığ emir defterleri, bölgesel kısıtlamalar ve ara sıra listeden çıkarılan ya da yeniden listelenen token'lar. Fiyatlandırma için tek bir merkezi borsaya güvenen bir izleyici, daha az likit varlıklar için ara sıra eski ya da çarpık değerler gösterecektir.
Zincir üstü fiyatlandırma. Bazı izleyiciler fiyatları doğrudan zincir üstü kaynaklardan, örneğin Uniswap havuzlarından ya da Chainlink gibi oracle akışlarından okur. Merkezi bir platforma bağımlı olmaması açısından çekici görünür, ancak DeFi havuzları özellikle yeni token lansmanlarında manipüle edilebilir ya da sığ işlem görebilir. Fiyatı düşük likitli bir havuzdan alınan bir token, tek bir takas işleminde %20 oynayabilir ve bu durum portföyünüzde hayali bir kazanç ya da kayıp olarak görünür.
Manuel geçersiz kılma. Daha iyi izleyiciler bir token'ı likit olmayan olarak işaretlemenize, özel bir fiyat sabitlemenize ya da toplamlardan tamamen çıkarmanıza olanak tanır. Bu kozmetik bir özellik değildir. Kırık likiditeye ya da kilitli vesting'e sahip token'lar tutuyorsanız, otomatik fiyatlandırma sizi düzenli olarak yanıltır. Manuel geçersiz kılma, savunabileceğiniz bir portföy rakamı ile savunamayacağınız bir rakam arasındaki farktır.
Aynı cüzdan için iki izleyicinin farklı net değer göstermesi bir hata değildir. Bunun nedeni farklı fiyatlandırma kaynakları, farklı yenileme aralıkları ve fiyatı belirlenmemiş varlıkların ele alınmasına yönelik farklı kurallardır. Asıl soru hangi rakamın doğru olduğu değil, hangi yöntemin pozisyonlarınız hakkında gerçekten nasıl düşündüğünüzle eşleştiğidir.
Veri dışa aktarımı, kilitlenme ve izleyici kapanırsa ne olur?
Her SaaS şirketinin sonunda kötü bir çeyreği olur. Takip araçları, özellikle ücretsiz olanlar, onlarca zincir genelinde zincir üstü veri çekmenin birim ekonomisinin pek de cömert olmaması nedeniyle özellikle savunmasızdır. Bir izleyici kapandığında ya da yön değiştirdiğinde, verileriniz onunla birlikte ortadan kalkmamalıdır.
Herhangi bir şeyi bağlamadan önce, izleyicinin sunduğu dışa aktarma seçeneklerini kontrol edin. Altın standart, CSV ile birlikte belgelenmiş bir API'dir. CSV evrenseldir, elektronik tablolarla çalışır ve başka bir araca taşınması kolaydır. API erişimi daha güçlüdür, ancak çoğunlukla kendi panolarınızı oluşturmayı planlıyorsanız önem kazanır.
Gerçekçi yelpaze şöyle görünür.
- Tam CSV ve API dışa aktarımı. Rotki ve Koinly gibi araçlar bu alanda güçlüdür. Özellikle Rotki, her şeyi varsayılan olarak yerel bir SQLite veritabanında saklar, böylece her zaman kendi kopyanız elinizde olur.
- Yalnızca CSV, bazen kısmi. Orta düzey izleyiciler arasında yaygındır. Kabul edilebilir, ancak CSV'nin yalnızca güncel bakiyeleri değil, maliyet esasını, işlem geçmişini ve geçmiş değerlemeleri içerip içermediğini kontrol edin.
- Hiç dışa aktarma yok ya da dışa aktarma ücretli paketin arkasında. Açık bir uyarı işareti. Veri yalnızca ürünün içinde kullanılabiliyorsa, ürün fiilen finansal geçmişinizi rehin tutuyor demektir.
Kilitlenme sessiz bir risktir. Bir izleyici, geçmiş performansınızın ve vergi kayıtlarınızın tek kaynağıysa, hizmet kötüleşse bile geçiş maliyetleri acı verici hale gelir. Dışa aktarma kalitesini izinler ve fiyatlandırmanın yanı sıra ilk üç kriterden biri olarak ele almak, sıkıcı ama doğru hamledir.
2023 CoinStats ihlali ve her izleyici kullanıcısına öğrettikleri
Haziran 2023'te, yaygın olarak kullanılan portföy izleyicilerinden CoinStats, kayıtlara geçen daha ciddi izleyici ihlallerinden biri haline gelen bir güvenlik olayını açıkladı. Saldırganlar bir CoinStats çalışanının hesabını ele geçirdi, ardından bu erişimi yaklaşık 1,5 milyon kullanıcının cüzdan verilerini sızdırabilecek uygulamanın kötü amaçlı bir sürümünü yaymak için kullandı. Devamındeki saldırıda yaklaşık 1.600 cüzdan boşaltıldı ve milyonlarca doları bulan kayıplar bildirildi.
Olay üzerinde durmaya değer çünkü hangi izleyiciyi kullanırsanız kullanın geçerli olan birkaç dersi gözler önüne serer.
- Güven uygulama katmanındadır. Salt okunur bir mimari, ihlal satıcının kendi derleme hattında gerçekleştiği için etkilenen kullanıcıları kurtarmadı. İstemcinin kötü amaçlı bir sürümüne imza atmak, işlevsel olarak bir kimlik avı sitesine imza atmakla aynı şeydir.
- İzleyiciye bağlı sıcak cüzdanlar, soğuk cüzdanlardan daha geniş bir patlama yarıçapı oluşturur. Kaybı bir donanım cüzdanıyla ya da merkezi bir borsadaki fonlarla sınırlı kalan kullanıcılar, aktif işlem için kullandığı sıcak bir cüzdanı bağlamış olanlardan çok farklı sonuçlarla karşılaştı.
- Yoğunlaşma risktir. Pek çok kullanıcı kolaylık olsun diye her cüzdanını ve borsa hesabını tek bir izleyiciye bağlamıştı. İhlal, tek bir hesap ele geçirmesini tüm portföyü kapsayan bir olaya dönüştürdü.
CoinStats yanıt verdi, güvenlik duruşunu iyileştirdi ve faaliyetine devam ediyor. Mesele herhangi bir satıcıyı özellikle hedef göstermek değil. Asıl nokta, en saygın olanlar dahil herhangi bir izleyicinin, doğrudan etkinleştirmediğiniz bir güvenlik ihlalinin vektörü olabileceğidir. Savunmacı hamle, herhangi bir tek izleyicinin görebildiği alanı sınırlamak, sıcak ve soğuk bakiyeleri ayırmak ve bağlandığınız herhangi bir üçüncü taraf aracın sonunda ihlal edileceğini varsaymaktır.
Yan yana: Zerion, DeBank, CoinStats, Rotki ve Koinly
Aşağıdaki araçların hiçbiri evrensel olarak en iyisi değildir. Her biri farklı bir ödünleşim üzerine kuruludur ve seçiminizi portföy büyüklüğünüz, kendi yazılımınızı barındırma konusundaki toleransınız ve vergi durumunuz belirlemelidir.
Zerion. EVM zincirleri ve Solana genelinde güçlü DeFi kapsamına sahip bir cüzdan ve portföy birleşimi. Cüzdan imzasıyla bağlanır, seed ifadesi gerekmez. Fiyatlandırma zincir üstü kaynaklara yaslanır, bu nedenle likit token'lar için genellikle doğrudur, ancak uzun kuyruk varlıklarda sapabilir. Dışa aktarım mevcuttur, ancak özel vergi araçlarından daha hafiftir. Çoğunlukla DeFi içinde yaşayan ve takas, köprüleme ve takip için tek bir arayüz isteyen kullanıcılar için idealdir.
DeBank. Zerion'a benzer bir yüzey alanı, özellikle temiz çok zincirli varlık görünümü ve sosyal özellikler sunar. İzinler cüzdan imzası yoluyla salt okunurdur. Fiyatlandırma kaynakları benzerdir. DeBank, birçok küçük zincir ve protokolde pozisyon tutan ve kapsamı alternatiflerden daha geniş olan kullanıcılar için oldukça uygundur.
CoinStats. Geniş merkezi borsa desteği ve cilalı bir mobil uygulamaya sahip genel amaçlı bir izleyici. Cüzdan imzası ya da salt okunur borsa API'si ile bağlanır. Bu listede en derin ihlal geçmişine sahiptir (yukarıya bakın), bu nedenle önemli bakiyeleri olan kullanıcılar bu geçmişi kolaylıkla dikkatlice tartmalıdır.
Rotki. Kendi barındırdığı seçenek. Rotki yerel olarak makinenizde çalışır, verileri genel blockchain düğümlerinden ve yapılandırdığınız API'lerden çeker ve her şeyi yerel bir veritabanında saklar. Siz paylaşmayı seçmediğiniz sürece hiçbir üçüncü taraf adreslerinizi görmez. Ödünleşim, kendiniz bakmanız, senkronizasyonların daha uzun sürmesi ve ilk kurulumun daha ağır olmasıdır. Herhangi bir ücretsiz SaaS izleyiciye emanet etmekten çekineceğinizden fazlasını tutan kullanıcılar için Rotki ciddi yanıttır.
Koinly. Önce vergi. Koinly, düzinelerce yetki alanında sermaye kazancı raporları üretmek için optimize edilmiştir, geniş borsa ve zincir entegrasyonuna sahiptir ve API erişimi vermek istemeyen kullanıcılar için güçlü CSV içe aktarma desteği sunar. Günlük bir panodan çok yıl sonu iş yük atıdır.
Herhangi bir portföy takipçisine bağlanmadan önceki pratik kontrol listesi
Bunu, bir adres yapıştırmadan veya herhangi bir yerde API anahtarı oluşturmadan önce kısa ve net bir ön kontrol olarak kullanın.
- Bağlantının gerçekten salt okunur olduğunu doğrulayın. Cüzdan bağlantısı yalnızca bir imza olmalı, beraberinde token onayları bulunmamalıdır. Borsa API anahtarlarında para çekme devre dışı bırakılmış olmalı ve ideal olarak IP ile kısıtlanmış olmalıdır.
- Fiyatlandırma modelini inceleyin. Fiyatların CEX emir defterlerinden mi, zincir üstü havuzlardan mı yoksa her ikisinden mi geldiğini anlayın. Likiditesi düşük tokenlar için manuel müdahale seçeneğine ihtiyacınız olup olmadığına karar verin.
- Bağlanmadan önce dışa aktarımı test edin. Küçük bir dışa aktarım oluşturun, açın ve maliyet esasını, işlem geçmişini ve geçmiş değerlemeleri içerdiğini doğrulayın. Yıl sonuna geldiğinizde dışa aktarımın ücretli bir paketin arkasına kilitlendiğini öğrenmeyi beklemeyin.
- Satıcının geçmiş olaylarını gözden geçirin. Temiz bir geçmiş gelecekte de güvenli olacağını garanti etmez, ancak bilinen bir ihlal, satıcının güvenliği nasıl yönettiğine dair gerçek bir sinyaldir.
- Maruz kalmanızı bölümlere ayırın. Alım satım için bir sıcak cüzdan bağlayın, ancak ana donanım cüzdanınızı veya uzun vadeli varlıklarınızı herhangi bir takipçiden tamamen uzak tutmayı değerlendirin. Takipçi ihlal edilirse, etki alanının küçük olmasını istersiniz.
- Kullanılmayan erişimleri düzenli olarak iptal edin. Borsa API anahtarları, cüzdan imzaları ve token onayları düzenli olarak, ideal olarak üç ayda bir gözden geçirilmeli ve temizlenmelidir.
Bu listeyi takip etmek hiçbir takipçiyi tamamen güvenli hale getirmez. İnternete bağlı hiçbir şey güvenli değildir. Ancak tuttuğunuz miktarla ve en kötü senaryoda kaybetmeyi göze aldığınız miktarla eşleşen bir takipçiyi seçmeniz için size yapılandırılmış bir yol sunar.
Daha keskin piyasa sinyalleriyle portföy takipçisi risklerinin önünde kalın
Takip katmanındaki güvenlik olayları hızlı ilerler ve onları izleyen istismarlar da öyle. Yeni bir cüzdan boşaltıcısı, bir takipçi satıcısının ihlali ya da popüler bir aracın izinleri nasıl yönettiğine dair bir değişiklik, varlıklarınızı bir gecede etkileyebilir. Bu sinyalleri X, Discord, GitHub ve onlarca kripto haber kaynağı üzerinden manuel olarak takip etmek başarısız bir oyundur. Zippfeed, portföy takipçisi manşetlerini ve daha geniş kripto güvenlik haberlerini duygu puanlaması (boğa, nötr veya ayı) ve önem derecesi ile birlikte sunar, böylece gerçek tehditler cüzdanlarınıza ulaşmadan önce tepki verebilirsiniz.