Fiyatlar yükleniyor…
Zipp Zipp Reklam Ver
Kaydol Giriş yap

Kriptonuzu Nasıl Güvende Tutarsınız: Pratik Bir Kontrol Listesi

Kripto öz saklaması anahtarların size ait olduğu anlamına gelir, ama aynı zamanda riskin de size ait olduğu anlamına gelir. Bu önceliklendirilmiş kontrol listesi, her alışkanlığı gerçek bir başarısızlık senaryosuna bağlayarak neye karşı önlem aldığınızı gerçekten bilmenizi sağlar.

starters Zipp · 11 dk okuma ·
Kriptonuzu Nasıl Güvende Tutarsınız: Pratik Bir Kontrol Listesi

"Kripto güvenliği" neden aslında ürün listesi değil, başarısızlık biçimleri listesidir

Genel güvenlik kılavuzlarının neden tatmin edici gelmediğinin sebebi, saldırıları anlatmadan araçları anlatmalarıdır. Size "donanım cüzdanı kullanın" ve "internette dikkatli olun" derler; bu, gerçek bir Ledger bildirimine tıpatıp benzeyen bir oltalama e-postası gelene ya da MetaMask'te bir işlem imzalamanız gerekip de gaz hesabını tanımadığınız rakamlarla gelene kadar mantıklı gelir. O noktada "dikkatli ol" bir strateji değildir.

Kripto güvenliğini bir başarısızlık biçimleri listesi olarak düşünmek işe yarar; bunlar, insanların gerçekten para kaybettiği belirli yollardır. Başarısızlık biçimini bildiğinizde, doğru alışkanlık neredeyse kendiliğinden ortaya çıkar. Belgelenmiş kayıpların çoğu kabaca altı kovaya girer: kimlik bilgilerini veya kurtarma ifadelerini çalan oltalama siteleri ve e-postaları, sosyal medyadaki sahte destek hesapları, zararlı tarayıcı eklentileri ve cüzdan boşaltıcı siteler, cüzdanınızı boşaltan bir işlemi kör imzalama, fonları yanlış ağa veya adrese gönderme ve merkezi borsaların iflas etmesi veya çekimleri dondurması.

Bunlardan bazılarını tek bir alışkanlıkla tamamen etkisiz hale getirebilirsiniz. Diğerlerini yalnızca azaltabilirsiniz. Hile, uygulama toplamakta değil, alışkanlığı başarısızlık biçimiyle eşleştirmektir. Bir parola yöneticisi, bir donanım cüzdanı ve borsa URL'lerinizi yer imlerine eklemek, 2024 ve 2025'te gerçek saldırıların büyük çoğunluğunu bertaraf eder. Bir yığın tarayıcı eklentisi ve bir Telegram "alpha" grubu ise bunu başaramaz.

Gerçekte savunduğunuz riskler

Kontrol listesine geçmeden önce, neye karşı korunduğunuzu bilmek için riskleri sade bir dille adlandırmaya değer.

Gerçek şirket bildirimlerine benzeyen oltalama e-postaları. 2020'de donanım cüzdanı üreticisi Ledger, bir müşteri e-posta veritabanı ihlalini açıkladı. Yıllar sonra, dolandırıcılar hâlâ gerçek Ledger güncellemelerine neredeyse tıpatıp benzeyen, aynı yazı tipleri ve altbilgiyle donatılmış, kullanıcılara "kurtarma ifadelerini doğrulamalarını" veya "kritik bir üretici yazılımı güncellemesini yüklemelerini" söyleyen mesajlar gönderiyor. 24 kelimesini bağlantılı sayfaya yazan herkes her şeyini kaybediyor. Saldırganlar sabırlı ve e-postalar başarılı.

X ve Discord'daki sahte destek hesapları. X'te herhangi büyük bir cüzdanı veya borsayı aratın; karşınıza, kullanıcılara "yardım için bana DM atın" diye yanıt veren onlarca taklit hesap çıkar. Sahte destek yetkilisi, kullanıcıyı kurtarma ifadesini yapıştırarak ya da bir işlem imzalayarak cüzdanını "yeniden senkronize etmesi" için yönlendirir. Aynı kalıp Discord'da da yaşanır; resmi görünümlü botlar kullanıcılara "güvenlik güncellemeleri" hakkında DM atar.

Basım, airdrop veya köprü gibi görünen cüzdan boşaltıcı siteler. Bir "ücretsiz basım" sayfası, bir "airdrop'unuzu talep edin" sayfası veya sahte bir köprü arayüzü sizden cüzdanınızı bağlamanızı ister, ardından siteye belirli tokenleri taşıma izni veren bir imza ister. İşlem İngilizce yazılmıştır ama altındaki onay öyle değildir ve bir kez imzalandığında, cüzdanı boşaltmadan önce haftalarca uyuyor kalabilir.

Borsa iflasları ve çekim dondurmaları. İnsanların unuttuğu başarısızlık biçimi budur, çünkü hiçbir şekilde bilgisayar korsanlığı gibi görünmez. Merkezi borsa FTX Kasım 2022'de çöktüğünde, müşteriler fonlarını bir oltalama e-postasına kaptırmadı. Onları, bakiyelerini tutan şirketin iflas etmesi yüzünden kaybettiler. Aynı kalıp Celsius, Voyager, BlockFi ve çeşitli offshore platformlarla daha küçük ölçeklerde tekrarlandı. Merkezi bir borsa (CEX) bir emanetçidir: kullanışlıdır, ama kriptoya kendiniz sahip olmakla aynı şey değildir.

Akıllı kontrat açıkları. Merkeziyetsiz finans (DeFi) ile etkileşime giriyorsanız, altta yatan kodun bir hırsızın yararlanabileceği hiçbir hata içermediğine güveniyorsunuz demektir. Özellikle köprüler vuruldu: Ronin, Wormhole, Harmony, Nomad ve diğerleri toplamda yüz milyonlarca dolar kaybetti. Bir kullanıcı olarak bu riski yamayamazsınız, ama bu riski hiç alıp almamayı seçebilirsiniz.

Etki sırasına göre pratik kontrol listesi

Aşağıdaki maddeler yaklaşık olarak kaldıraç sırasına, yani her birinin harcanan zamana göre ne kadar riski ortadan kaldırdığına göre listelenmiştir. Her şeyi bir seferde yapmak zorunda değilsiniz. İlk üçü bile sizi çoğu yatırımcının önüne geçirir.

1. Anlamlı bakiyeleri bir donanım cüzdanına taşıyın

Ledger, Trezor ve birkaç küçük üreticinin sattığı türden bir donanım cüzdanı, özel anahtarlarınızı bilgisayarınıza hiçbir zaman doğrudan bağlanmayan bir çipte saklayan küçük bir cihazdır. Kripto göndermek istediğinizde, işlemi bilgisayarınızda hazırlar ve ardından cihazdaki düğmelere basarak fiziksel olarak onaylarsınız. Dizüstü bilgisayarınız tamamen ele geçirilmiş olsa bile, siz düğmelere basmadan anahtarlar cihazdan çıkamaz.

"Bununla uğraşmalı mıyım" eşiği genellikle şöyle ifade edilir: fiziksel bir cüzdanda yanınızda taşımayacağınız herhangi bir miktar, borsadan veya sıcak cüzdandan uzaklaştırmaya değer. Birçok insan için bu, birkaç yüz dolardan fazlasıdır. Her bir doları donanım cüzdanına koymanıza gerek yoktur, ancak uzun vadeli varlıklar oraya aittir.

Yaygın bir hata, bir donanım cüzdanı satıp kurmak, sonra da alım-satım daha kolay olduğu için parayı borsada bırakmaya devam etmektir. Donanım cüzdanı yalnızca üzerinde gerçekten bulunan parayı korur.

2. Her borsa ve cüzdana benzersiz bir e-posta, güçlü bir parola ve 2FA verin

Çoğu hesap ele geçirme, saldırganların diğer ihlallerden sızan e-posta ve parola çiftlerini büyük borsalara karşı denediği kimlik bilgisi doldurma saldırılarıyla başlar. Borsa girişiniz, 2013'te sızan eski bir forum hesabıyla aynı e-posta ve parolayı kullanıyorsa, hesabınız bir veritabanı uzaklıktadır.

Çözüm mekaniktir ve gösterişli değildir:

  • Her borsa için benzersiz bir e-posta, ideal olarak başka hiçbir yerde kullanmadığınız özel bir takma ad.
  • Bir parola yöneticisinden uzun, rastgele oluşturulmuş, hiçbir yerde yeniden kullanılmayan bir parola.
  • SMS yerine Aegis, Raivo veya Google Authenticator gibi bir kimlik doğrulama uygulaması kullanarak iki faktörlü kimlik doğrulama (2FA), çünkü SIM swap hâlâ yaygın.

Parayla ilgili her hesaba uygulanan bu tek alışkanlık, kimlik bilgisi tabanlı saldırıların büyük bölümünü bertaraf eder.

3. Borsa ve cüzdan URL'lerini yer imlerine ekleyin, asla bağlantılara tıklamayın

Çoğu "oltalandım" hikâyesi, doğru görünen ancak bir veya iki karakteri farklı olan bir Google reklamı, arama sonucu veya e-postadaki bağlantıyla başlar. Borsa URL'nizi adres çubuğuna yazmak iyidir. "Binance giriş" için en üstteki reklama tıklamak ise yazı tura atmaktır.

Kripto siteleri için küçük bir yer imleri klasörü oluşturun. Bu yer imlerini sonsuza dek kullanın. Bir e-posta veya mesaj sizden herhangi bir nedenle giriş yapmanızı isterse, bağlantıyı değil yer imini açın. Bu, listedeki en ucuz, en hızlı alışkanlık ve en etkili olanlardan biridir.

4. Tohum ifadenizi çevrimdışı saklayın, ideal olarak metal üzerinde

Bir cüzdanı kurduğunuzda oluşturulan 12 veya 24 kelimelik tohum ifadeniz, ondan türetilen her adresin ana anahtarıdır. Bu kelimelere sahip olan herkes kriptonuza sahip olur, nokta. Bunu tersine çevirebilecek bir müşteri desteği, geri alınabilecek bir işlem yoktur.

İki kural riskin çoğunu kapsar:

  • Kelimeleri asla bir web sitesine, sohbet penceresine, bir forma veya Google Doc'a yazmayın. Hiçbir meşru şirket, acente veya "destek temsilcisi" bunları sizden istemeyecektir.
  • Onları okumak için bağlı bir cihaz gerektiren bir yerde asla saklamayın. Kamera rulonuzdaki fotoğraflar, telefonunuzdaki notlar ve parola yöneticileri, dışarı sızarılabilecekleri için tohum ifadesi için kötü yerlerdir.

Kâğıt orta miktarlar için işe yarar, ancak kâğıt yanar, ıslanır ve soluklaşır. Kaybetmeye üzüleceğiniz her şey için, kelimeleri bu amaç için tasarlanmış bir metal tohum saklama plakasına yazın veya damgalayın. Bir kopyasını güvenli bir yerde, ideal olarak ikinci bir kopyasını farklı bir fiziksel konumda saklayın.

5. Tam olarak anlamadığınız cüzdan işlemlerini asla imzalamayın

MetaMask, Rabby veya Frame gibi bir öz denetimli cüzdan kullandığınızda, her eylem bir imzayla sona erer. Bazı imzalar para taşır. Bazı imzalar bir sözleşmenin sizin adınıza belirli bir token'ı taşımasına izin verir. Bazı imzalar, o token'ı boşaltmak için sınırsız ve kalıcı onay verir. Cüzdan arayüzü size insanların okuyabileceği bir özet gösterir, ancak asıl önemli olan alttaki verilerdir.

Herhangi bir şeyi imzalamadan önce kendinize üç soru sorun:

  • Gerçekte neyi onaylıyorum? Yalnızca dolar miktarını değil, fonksiyon adını ve harcayan adresi okuyun.
  • Bu bir "approve" mi yoksa "setApprovalForAll" mi? Bunlar genellikle günler sonra cüzdanları boşaltan imzalardır.
  • Site, kullanmayı beklediğim şeyle eşleşiyor mu? Bir bağlantıya tıkladıysam, gerçek alan adına mı ulaştım?

Şüphe duyduğunuzda reddedin ve güvendiğiniz birine sorun. Bir işlemi reddetmenin maliyeti yoktur. Yanlış olanı kabul etmenin ise genellikle geri dönüşü yoktur.

6. Küçük bir "harcama" bakiyesi ve ayrı bir "birikim" bakiyesi tutun

Çoğu insanın uzun vadeli varlıkları için yalnızca bir donanım cüzdanına ihtiyacı vardır. Günlük kullanım için küçük bir bakiyeli bir sıcak cüzdan daha pratiktir. Fonlarınızı bu şekilde ayırmak, ele geçirilen bir sıcak cüzdanın size zaten fiziksel cüzdanınızı düşürmüş olsaydınız kaybedeceğiniz kadar zarar vermesi anlamına gelir.

Aynı mantık borsa hesapları için de geçerlidir. Tüm net değerinizi tek bir CEX'te tutmak için bir neden yoktur. Alım-satım yapıyorsanız, yalnızca platformda etkin olarak kullandığınız miktarı tutun.

7. Bir borsanın iflas etmesi ile akıllı sözleşme saldırısı arasındaki farkı öğrenin

Bunlar çok farklı olaylardır ve çok farklı sonuçları vardır.

Bir merkezi borsa iflas ettiğinde — FTX, Celsius veya Voyager gibi — adınız alacaklılar listesinde olur. Yargı alanına ve kurtarılan varlıklara bağlı olarak, paranızın bir kısmını yıllar sonra, bir miktar zararla geri alabilirsiniz. Sorunun kaynağı emanetti: borsa müşteri fonlarını havuzlayıp kullandı. Buradan çıkarılacak ders, bir CEX'te kripto değil bir borç senediniz olduğudur.

Bir akıllı sözleşme hacklendiğinde — bir köprü veya bir borç verme protokolü gibi — fonlar genellikle anında kaybolur. Dava açılacak bir şirket, iflas mahkemesi yoktur. Herhangi bir kurtarma, varsa, bir beyaz şapka ödülünden, çatallanma için bir yönetim oylamasından veya yavaş bir hukuki mücadeleden gelir. Buradan çıkarılacak ders, akıllı sözleşmelerle etkileşim kurmanın kod yürütme riskini kabul etmek olduğudur.

Bu risklerden hiçbirini tamamen ortadan kaldıramazsınız, ancak her birinden ne kadar aldığınızı seçebilirsiniz. Öz denetim birincisini ortadan kaldırır. Denetlenmemiş protokol ve köprülerden kaçınmak ikincisinin çoğunu ortadan kaldırır.

Bakış açısıyla tanımanız gereken yaygın dolandırıcılıklar

Mükemmel alışkanlıklara sahip olsanız bile, bunları yaban ortamda görmeye devam edeceksiniz. Bakış açısıyla tanımak savaşın yarısıdır.

"Cüzdanınızı doğrulayın" veya "Cihazınızı senkronize edin" sayfaları. Hiçbir gerçek cüzdan sağlayıcısı, sizden tohum ifadenizi bir web sitesine "doğrulamak" için girmenizi istemeyecektir. Bu her zaman hırsızlıktır.

Sahte airdroplar ve mint'ler. Satın almadığınız bir token cüzdanınızda belirir. Bağlantılı bir site "claim" veya "mint" der. Site, sizden bir saldırganın kontrol ettiği sözleşmeye token onayları veren bir işlemi imzalamanızı ister. Token, tam olarak bu imzayı yem olarak gönderilmiştir.

Adres zehirlenmesi. Daha önce gönderim yaptığınız bir adresi kopyalar, cüzdanınıza yapıştırır ve gönderirsiniz. Adres, son birkaç karakter hariç doğrudur, çünkü benzer görünümlü bir adres oluşturulmuş ve tarihçenizde tanıdık görünmesi için küçük bir miktar toz gönderilmiştir. Her zaman yalnızca başını ve sonunu değil, tam adresi yeniden doğrulayın.

İlk temas kuran "Müşteri desteği". Hiçbir gerçek destek temsilcisi, hesabınızla ilgili yardım etmek için sizi istenmeyen şekilde DM'lemez, aramaz veya e-posta göndermez. Birisi bunu yaparsa, bu bir dolandırıcılıktır, nokta.

İş teklifi ve OTC masası taklitçileri. Uzaktan kripto işleri sunan "işe alımcılar" genellikle mağdurları boşaltıcıların çıktığı komut dosyaları veya "test işlemleri" kurmaya yönlendirir. OTC masası taklitçileri büyük bakiyeleri "swap etmenize" yardım etmeyi teklif eder ve fonlarla birlikte ortadan kaybolur.

Bir şeyler ters giderse ne yapmalı

Hiçbir kontrol listesi mükemmel değildir. Oltalandığınızdan, kötü amaçlı bir işlemi imzaladığınızdan veya erişimi kaybettiğinizden şüpheleniyorsanız, zarafetten çok hız önemlidir.

Tohum ifadenizi bir siteye yazdıysanız, cüzdanın ele geçirildiğini varsayın. Fonları hemen temiz bir cihazda oluşturulmuş yepyeni bir cüzdana taşıyın. Donanım cüzdanınız yoksa, eskisinden daha iyi olmasa bile yeni bir sıcak cüzdan bile yeterlidir.

Bir boşaltıcıya "approve" işlemi imzaladıysanız, boşaltıcı hemen hareket etmeyebilir. Bazıları süpürmeden önce büyük bir bakiye olmasını bekler. Etherscan'ın Token Approvals sayfası veya özel bir revoke aracı kullanarak token onaylarını iptal edin ve kalan fonları boşaltıcının onayı olmayan yeni bir cüzdana taşıyın.

Borsa hesabınız ele geçirildiyse, aldığınız e-posta veya DM üzerinden değil, resmi kanallar aracılığıyla borsayla iletişime geçin. Mümkünse kalan fonları çekin. En iyi ihtimalle yavaş ve kısmi bir kurtarma bekleyin.

Daha büyük bakiyeler için, meşruiyetlerini bağımsız olarak doğruladıktan sonra yalnızca profesyonel kurtarma hizmetlerini değerlendirin; çünkü "kurtarma" alanının kendisi de mağdurları hedefleyen ikincil dolandırıcılıklarla doludur.

Gündelik yatırımcılar için pratik çıkarımlar

Dürüst özet şudur: kripto güvenliği çoğunlukla sıkıcı, tekrarlayan bir hijyendir, zeki teknik çalışma değil. Aynı birkaç alışkanlık, yıldan yıla aynı birkaç başarısızlığa karşı korur. İnsanların hâlâ para kaybetmesinin nedeni tavsiyenin bilinmemesi değil. Alışkanlıkların olaydan önce kurulmamış olmasıdır.

Sıfırdan başlıyorsanız, bu hafta bu dört şeyi yapın:

  • Bir donanım cüzdanı kurun ve uzun vadeli varlıkları ona taşıyın.
  • Kullandığınız her borsa için benzersiz e-postalar ve güçlü parolalar oluşturun ve her birine 2FA ekleyin.
  • Her borsa ve cüzdanın gerçek URL'lerini yer imlerine ekleyin ve benzer alan adlarına kaydedilmiş tüm parolaları kaldırın.
  • Tohum ifadenizin çevrimdışı, ideal olarak metal bir şeyin üzerine yazıldığından ve hiçbir dijital kopyasının bulunmadığından emin olun.

Bunlar yerine oturduktan sonra, marjinal çaba işlem düzeyinde farkındalığa kayar: imzaladığınız şeyi okumak, dolandırıcılıkları tanımak ve harcamayı birikimden ayırmak. Bunların hiçbiri uzmanlık gerektirmez. Bir rutin gerektirir.

Kripto güvenlik haberlerinde bir adım önde olun

Kripto güvenlik hızla gelişiyor ve etrafındaki haberler de öyle: yeni kimlik avı kitleri, yeni drainer kampanyaları, borsa olayları ve protokol istismarları her gün ortaya çıkıyor. Bunları manuel olarak takip etmek kaybedilen bir oyun. Zippfeed, kripto manşetlerini duygu puanlamasıyla — boğa, nötr veya ayı — ve bir önem derecelendirmesiyle öne çıkarır; böylece gerçek riskleri erken tespit edebilirsiniz, onları cüzdan bakiyenizden öğrenmek yerine.

Sıkça sorulan sorular

Kriptomu Coinbase veya Binance gibi bir borsada tutmak güvenli mi?
Kısa vadede küçük bakiyeler ve aktif işlem için güvenli olabilir, ancak borsanın ödemelerini yapabilir, güvenli ve erişilebilir kalır durumda olmasına güveniyorsunuz. Tarih, düzenlenmiş büyük borsaların bile battığını, çekimleri dondurduğunu veya hacklendiğini göstermiştir. Fiziksel bir cüzdanda taşıyacağınızdan fazlası için donanım cüzdanında öz saklama, borsayı devreden çıkarır. Bu bir eğitimdir, finansal tavsiye değildir ve saklama kararları kendi risk toleransınıza ve yetki alanınıza bağlıdır.
Donanım cüzdanı kriptomu gerçekte nasıl güvende tutar?
Donanım cüzdanı özel anahtarlarınızı, bilgisayarınızın erişemeyeceği bir çip içinde saklar; bilgisayarınız tehlikeye girse bile anahtarlar asla dışarı çıkmaz. İşlemler çevrimiçi hazırlanır ancak cihazın üzerinde fiziksel olarak onaylanmalıdır. Bu ayrım, uzaktan gelen çoğu saldırıyı etkisiz kılar: bir keylogger ne yazdığınızı görebilir, ancak cihazdaki düğmelere siz basmadan bir işlemi imzalayamaz.
Kurtarma ifademi (seed phrase) hiçbir zaman bir web sitesine veya sohbete yazmalı mıyım?
Hayır. Meşru cüzdan sağlayıcıları, borsalar ve destek personeli hiçbir nedenle sizden kurtarma ifadenizi istemez. Bir site, form veya kişi o 12 ya da 24 kelimeyi soruyorsa, bunun bir dolandırıcılık olduğunu varsayın ve hemen ayrılın. Bu kelimeleri zaten bir yere yazdıysanız, cüzdanı tehlikeye girmiş kabul edin ve en kısa sürede yeni oluşturulmuş bir cüzdana paranızı aktarın.
Borsa iflası ile akıllı kontrat hacki arasındaki fark nedir?
Borsa iflası, müşteri varlıklarını tutan şirketin battığı anlamına gelir (FTX veya Celsius gibi); kurtarma iflas süreçlerine bağlıdır ve genellikle yavaş ve kısmi olur. Akıllı kontrat hacki ise bir köprü veya kredi protokolü gibi kodun istismar edilmesidir; burada varlıklar genellikle doğrudan çalınır ve kurtarma white-hat anlaşmalarına veya yönetim oylamalarına bağlıdır. Öz saklama sizi ilk risk kategorisinden çıkarır; denetlenmemiş protokollerden kaçınmak ise ikinci kategoriye maruziyeti azaltır.

İlgili kılavuzlar