Tarayıcı eklentisi cüzdanı, özel anahtarlarınızı tarayıcınızda saklayarak kripto işlemlerini imzalamanızı ve merkeziyetsiz uygulamalara bağlanmanızı sağlayan küçük bir yazılımdır. Güvenli bir şekilde kurmak için yalnızca resmi web sitesinden yükleyin, asla bir arama reklamından yüklemeyin, 12 veya 24 kelimelik kurtarma ifadenizi kağıda veya çevrimdışı bir metal plakaya yazın, güçlü bir parola belirleyin ve kurtarma ifadesini o cüzdana koyacağınız her kuruşun ana anahtarı olarak görün.
Öne çıkanlar
- Tek bir en büyük cüzdan riski kurtarma ifadesidir: onu okuyan herkes paranızı boşaltabilir; bu yüzden asla fotoğrafı çekilmemeli, telefona yazılmamalı veya buluta kaydedilmemelidir.
- Sahte tarayıcı eklentisi mağazaları ve arama reklamları, yeni kullanıcıların kripto kaybetmesinin bir numaralı yoludur; bu nedenle resmi site tek güvenli indirme kaynağıdır.
- Tarayıcı cüzdanı tasarımı gereği sıcak bir cüzdandır; uzun vadeli varlıklar, eklentinin yalnızca salt okunur bir bağlantı olarak gördüğü bir donanım cüzdanında saklanmalıdır.
- Merkeziyetsiz uygulamalardaki token onayları, ilgili dApp'in kendisinden daha uzun yaşayabilir; bu yüzden kullanılmayan izinleri iptal etmek tek seferlik bir iş değil, tekrarlanan bir hijyen alışkanlığıdır.
Tarayıcı eklentisi cüzdanı gerçekte nedir ve kurulum günü neden önemlidir
Tarayıcı eklentisi cüzdanı, Chrome, Firefox, Brave veya Edge içinde yaşayan ve sizinle blokzincir arasında köprü görevi gören küçük bir programdır. Eklenti özel anahtarlarınızı tutar, sizin adınıza işlemleri imzalar ve bir web sitesi fon taşımak istediğinde her seferinde bir onay ekranı açar. MetaMask, Ethereum ve Polygon, Arbitrum, BNB Chain gibi EVM uyumlu zincirlerde baskın örnektir. Phantom ise Solana üzerinde benzer bir kurulum akışına ve tehdit modeline sahip eşdeğer cüzdandır. Her ikisi de anahtarlar internete bağlı bir cihazda bulunduğu için bazen sıcak cüzdan olarak adlandırılır; bu durum ticaret ve dApp kullanımı için elverişlidir ve aynı zamanda kurulum anının neden bu kadar tehlikeli olduğunu açıklar.
Güvenlik yazarlarının bir cüzdanın hayatındaki ilk on dakikaya takıntılı şekilde odaklanmasının nedeni, kriptoda neredeyse her felaket kaybının beş şeyden birine dayanmasıdır: bir arama reklamından yüklenen sahte eklenti, bir telefona ekran görüntüsü olarak kaydedilen kurtarma ifadesi, destek ekibi gibi görünen bir kimlik avı sitesine yazılan kurtarma ifadesi, kötü niyetli bir akıllı kontrata verilen sınırsız token onayı veya kopyala-yapıştır anında cüzdan adresini değiştiren pano kötü amaçlı yazılımı bulaşmış bir tarayıcı. Bunların hiçbiri egzotik saldırı değildir. Sıradan, tekrarlayan ve tam da kurbanın acele etmesi nedeniyle işe yarayan saldırılardır. Özenli bir kurulum, yorgun, dalgın ya da yeni bir token konusunda heyecanlı olduğunuz anda bile ayakta kalan alışkanlıklar oluşturur.
Herhangi bir şeye tıklamadan önce yerleştirmeniz gereken bir zihinsel model de var. Kurulum sırasında gösterilen 12 veya 24 İngilizce kelimeden oluşan kurtarma ifadesi aslında cüzdandır. Eklenti değil. Parola değil. Cihaz değil. Bu kelimelere sahip olan herkes, dizüstü bilgisayarınız çantanızda yanınızda olsa bile cüzdanı kendi cihazında yeniden oluşturabilir ve fonlarınızı taşıyabilir. Eklenti sadece blokzincirinde yaşayan bir anahtar zincirine açılan bir penceredir ve kurtarma ifadesi de anahtardır. Kurtarma ifadesine buna göre davranırsanız, bu rehberin geri kalanı çoğunlukla bir kontrol listesidir.
Herhangi bir şey yüklemeden önce gerçek riskler
Kullanıcının parası söz konusu olduğundan, yeni başlayanları yakalayan başarısızlık modlarını açıkça belirtmekte fayda var. Bunlar kuramsal değildir. Kaybedilen her cüzdanın olay sonrası incelemesinde okuyacağınız aynı beş hikayedir.
İlk olarak, sahte eklentiler. Arama motorları düzenli olarak gerçek MetaMask veya Phantom listelemesinin üzerinde reklamlar gösterir ve adında bir fazla harf bulunan kopyası eklentiler yıllar içinde on milyonlarca dolar çalmıştır. Eklenti mağazası sayfası, simge, ekran görüntüleri ve kullanıcı yorumları dahil olmak üzere birebir aynı görünür; çünkü saldırganlar sabırlıdır. Tek güvenli indirme, yazımı kendiniz kontrol ettikten sonra kendi yazdığınız adres veya ilk günden itibaren kaydettiğiniz bir yer imidir.
İkinci olarak, kurtarma ifadesinin sızdırılması. Bir cüzdanı kaybetmenin en yaygın yolu, kurtarma ifadesini bir not uygulamasına yazmak, kendinize e-posta ile göndermek, fotoğrafını çekmek veya bir parola yöneticisinde saklamaktır. Bunların her biri, kontrolü sizde olmayan bir sunucuda yaşayan bir kopya oluşturur. Bulutla senkronize edilen notlar ele geçirilmiştir. Fotoğraflar buluta senkronize edilir. Bir parola yöneticisi bile, ele geçirildiğinde saldırgana kriptonuzun ana anahtarını teslim eden tek kimlik bilgisi hedefidir. Kurtarma ifadesi kağıda, ya da yangına ve suya dayanıklı olarak tasarlanmış bir metal plakaya yazılmalı ve başka hiçbir yerde bulunmamalıdır.
Üçüncü olarak, cüzdan destek ekibini taklit eden kimlik avı siteleri. Bir cüzdan hatasını Google'da arayıp canlı sohbet açan bir bağlantıya tıklarsanız, büyük olasılıkla bir dolandırıcıyla konuşuyorsunuz demektir. Gerçek cüzdan ekibi sizden asla kurtarma ifadenizi istemez, bir senkronizasyon sorununu düzeltmek için onu bir web sitesine girmenizi asla istemez ve size ilk olarak asla ulaşmaz. Sizden kurtarma ifadenizi isteyen bir cüzdan, aslında kendini boşaltan bir cüzdandır.
Dördüncü olarak, kötü niyetli token onayları. Bir dApp sizden takas, ödünç verme ya da stake etme istediğinde, genellikle bir token onayı ister; bu, cüzdanınızdan belirli bir token'ı tekrar sormadan taşıma izni veren bir akıllı kontrat yetkisidir. 'Harcama üst sınırını maksimuma ayarla' diyen sınırsız onaylar hem kullanışlı hem de tehlikelidir. dApp hacklenirse veya en başından beri kötü niyetliyse, o izin siz onu iptal edene kadar o token için saldırganın anahtarı olur. Revoke.cash ve benzeri araçlar tam olarak bu onayları temizlemek için vardır.
Beşinci olarak, bir cüzdan adresini kopyaladığınız anda panoda değiştiren kötü amaçlı yazılım. Ekrandaki adres doğru görünür, işleme yapıştırılan adres ise saldırganın adresidir ve fonlar kaybolur. Bu yüzden donanım cüzdanları, imzalamadan önce hedef adresi güvenilir bir ekranda gösterir ve siz de cüzdanınızın onay penceresinde yalnızca ilk ve son karakterlere değil, adresin tamamına bakmalısınız.
Birinci adım: eklentiyi doğru yerden edinin
Yeni bir tarayıcı sekmesi açın ve cüzdanın resmi adresini kendiniz yazın. MetaMask için standart adres metamask.io, Phantom için ise phantom.app'tır. Ana sayfada, Chrome Web Mağazası, Firefox Eklentileri veya Edge Eklentileri sitesine bağlanan, açıkça etiketlenmiş bir indirme düğmesi arayın. Henüz işiniz bitmedi: mağazaya ulaştığınızda, geliştirici adını, kurulum sayısını, yayın tarihini ve son yorumları kontrol edin. Gerçek bir cüzdan eklentisinin milyonlarca kurulumu, uzun bir geçmişi ve projenin resmi alan adıyla eşleşen bir geliştirici adı olur. Mağaza listesinde 'Some Random LLC tarafından' yazıyorsa veya 200 kurulum varsa, sekmeyi kapatın.
Bir cüzdanı asla bir arama reklamından, YouTube yorumundan, Telegram grubundan, takip etmediğiniz bir hesaptan gelen tweettan veya Discord DM'indeki bir bağlantıdan yüklemeyin. Bu kılavuzdaki en önemli alışkanlık, sıkıcı olanıdır: ilk gün resmi siteyi yer imlerine ekleyin ve yalnızca bu yer imini kullanın. Arama motorları bir saldırı yüzeyidir; cüzdanın kendi ana sayfası değildir.
Yükleme sırasında tarayıcı, eklentinin istediği izinler hakkında sizi uyarır. Bir cüzdan eklentisinin meşru şekilde ziyaret ettiğiniz web sitelerindeki verileri okuması ve değiştirmesi gerekir, çünkü onay penceresini bu şekilde açar ve zinciri bu şekilde okur. Bu geniş izin normaldir. Normal olmayan, işleviyle ilgisi olmayan izinler isteyen veya siz açık bir yükleme düğmesine tıklamadan yüklenen bir cüzdan eklentisidir. Herhangi bir şey tuhaf gelirse, kaldırın ve resmi URL'den baştan başlayın.
İkinci adım: yeni bir cüzdan oluşturun ve kurtarma ifadesini çevrimdışı kaydedin
Yeni yüklediğiniz eklentiyi açın ve 'Yeni cüzdan oluştur'u seçin. Cüzdan, kriptografik olarak güvenli bir rastgele sayı üreteci kullanarak 12 veya 24 kelimelik bir kurtarma ifadesi oluşturur. İşte önemli olan an budur. Kelimeler size teker teker gösterilecektir. Doğru tepki, onları sırayla, bir kalemle, bir kağıda yazmaktır. Onları yazmayın. Fotoğraflarını çekmeyin. Mikrofon yakınında sesli söylemeyin. Yazma eylemi, güvenlik özelliğinin kendisidir; çünkü kağıttaki kalem asla internete bağlanmaz.
Bu cüzdanda birkaç yüz doların üzerinde kripto tutmayı düşünüyorsanız, kağıt adımını yükseltmeye değer. Birkaç saygın satıcı tarafından satılan metal bir kurtarma ifadesi plakası, ev yangınına ve sele dayanır. Maliyeti düşüktür ve önlediği arıza türü, tamamen kayıptır. Her iki durumda da kurtarma ifadesi fiziksel olarak güvenli bir yerde saklanmalıdır; ideal olarak cüzdanı kullanacağınız dizüstü bilgisayardan farklı bir fiziksel konumda, çünkü yedeklediği cihazla aynı yerde bulunan yedekler gerçek anlamda yedek değildir.
Eklenti, kelimeleri sırayla yeniden girerek kurtarma ifadesini onaylamanızı isteyecektir. Bu, onları doğru yazıp yazmadığınızın bir kontrolüdür. Bu adımı atlamayın ve gizlice çektiğiniz ekran görüntüsünden yeniden yazarak geçmeyin. Egzersizin bütün amacı, kurtarma ifadesinin tek kopyasının çekmecenizdeki bir kağıtta bulunmasıdır. Onaydan sonra, güçlü bir cüzdan parolası belirleyin. Bu parola, eklentiyi sizin belirli cihazınızda kilitler; böylece sıradan bir tarayıcı ziyaretçisi onu açamaz. Bu, kurtarma ifadesiyle aynı şey değildir. Parola, kurtarma ifadesi kullanılarak yeni bir cihazda sıfırlanabilir, ancak kurtarma ifadesini hiç kimse, hiçbir zaman sıfırlayamaz.
Sonradan işe yarayan bir alışkanlık daha: cüzdanınız sunuyorsa, cüzdan içindeki kimlik avı engelleme listesini etkinleştirin. MetaMask, bilinen kötü amaçlı alan adlarının bir listesini tutar ve bağlanmadan önce sizi uyarır. Phantom da Solana'da aynısını yapar. Bu özelliği açık bırakın. Size hiçbir maliyeti olmayan ve saldırıların tüm kategorilerini engelleyen birkaç güvenlik özelliğinden biridir.
Üçüncü adım: cüzdanı hedef haline gelmeden fonlayın
İlk kez gerçek para bir cüzdana girdiğinde, cüzdan aynı zamanda bir saldırgan için ilgi çekici hale gelir. Birkaç küçük alışkanlık, hedefi küçük tutar. Zaten kullandığınız merkezi bir borsadan başlayarak, önce bir test işlemi gönderin. Test işlemi, genellikle birkaç dolarlık ETH veya SOL tutarında, yeni cüzdanın alıcı adresine gönderilen küçük bir miktardır. Geldiğini onaylarsınız, kalanını gönderirsiniz. Bu yavaş gelebilir. Adres yanlış yazıldığında, 50 dolarlık bir hata ile 5.000 dolarlık bir hata arasındaki fark budur.
Alıcı adresini her zaman eklentinin içinden kopyalayın ve imzalamadan önce eklentinin gönderim onay ekranındaki adresin tamamını her zaman okuyun. Adres uzun olacaktır. Onu okuyun. İleride bir donanım cüzdanınız olursa, ikinci bir kontrol olarak adresi donanım ekranında okuyun. Borsa tarafındaki adres, eklentinin içindeki adresle birebir eşleşmiyorsa, işlemi iptal edin ve nedenini araştırın. Pano adreslerini yeniden yazan kötü amaçlı yazılım, gerçek bir saldırı kategorisidir ve tek savunma, okuma gibi sıkıcı olandır.
Cüzdanı fonlamadan önce, bu cüzdanın ne rol oynayacağına karar verin. Cevap 'günlük kullanım, dApp'ler, küçük işlemler' ise, tarayıcı eklentisi cüzdanı doğru araçtır ve bakiyeyi, kaybı can sıkıcı ama hayatı değiştirmeyecek kadar küçük tutmalısınız. Cevap 'burada uzun vadeli birikimlerim duruyor' ise, doğru araç bir donanım cüzdanıdır ve tarayıcı eklentisi ona açılan ince bir penceredir. Ledger ve Trezor gibi donanım cüzdanları, özel anahtarları internete hiç bağlanmayan bir cihazda tutar; eklenti ise yalnızca imzalanmış işlemleri görür. Uzun vadeli bir değer deposu, kısaca, sıcak cüzdanda bulunmamalıdır. Tarayıcı eklentisi harcamak içindir; donanım cüzdanı biriktirmek içindir.
Dördüncü adım: dApp'lere bağlanın ve arkanızı temizleyin
Merkezi olmayan bir uygulamayı ziyaret ettiğinizde, site cüzdanınızdan 'bağlanmasını' ister. Bir onay penceresi, dApp'in görmek istediği hesabı ve konuşmak istediği zinciri listeler. Bunu okuyun. Basit bir takas sitesi, cüzdanınızdaki fonlamadığınız hesaplar dahil tüm hesapları görmek istiyorsa, bu bir sarı bayraktır. Bir site, anlamadığınız bir mesajı imzalamanızı istiyorsa, bu kırmızı bayraktır. İmzalar, hiçbir işlem gönderilmeden cüzdanların boşaltılmasının yoludur; saldırgan, imzayı yerinde olmayan bir kötü amaçlı işlemi yetkilendirmek için kullanır. Şüphe duyduğunuzda, bağlantıyı kesin ve ana hesabınız yerine küçük, özel bir dApp hesabı kullanın.
En iyi uygulama, MetaMask veya Phantom içinde en az iki hesap tutmaktır. Birincisi, 'kasa' hesabınız, uzun vadeli fonları tutar ve hiçbir dApp'e bağlanmaz. İkincisi, 'harcama' hesabınız, Uniswap, OpenSea, Aave ve benzerleriyle konuşan hesaptır. Eklenti, aralarında tek tıklamayla geçiş yapabilir. Bir dApp pişman olduğunuz bir onay isterse veya sizi şüpheli bir şeye kaydeder ise, kayıp harcama hesabının bakiyesiyle sınırlı kalır.
Bir dApp kullandıktan sonra, arınma işlemi artık ihtiyaç duymadığınız token onaylarını iptal etmektir. revoke.cash gibi araçlar zinciri okur ve etkin her onayı listeler. Bir onayı iptal etmek, gas olarak birkaç kuruş maliyeti olan küçük bir işlemdir ve dApp'in cüzdanınızdan token taşıma iznini kaldırır. Basit bir kural: 30 gündür kullanmadığınız bir dApp'in onaylarını iptal edin. Sınırsız onaylar kullanışlı ve tehlikelidir; siteyi ziyaret etmeyi bıraktıktan çok sonra, ele geçirilmiş bir protokolün cüzdanları boşaltmasının yolu budur.Tek sayfalık kurulum kontrol listesi
Bunu ilk seferinde kelimesi kelimesine bir kontrol listesi olarak kullanın, ardından birkaç ayda bir gözden geçirme listesi olarak tekrar edin.
- İndirme kaynağı: metamask.io veya phantom.app sitelerini sık kullanılanlara ekleyin ve yüklemeyi yalnızca bu yer imlerinden yapın. Asla bir arama reklamından, Telegram bağlantısından veya bir tweettten kurulum yapmayın.
- Mağaza doğrulaması: Tarayıcının eklenti mağazasında, yüklemeden önce geliştirici adının, yükleme sayısının ve yayınlama geçmişinin resmi projeyle eşleştiğini doğrulayın.
- Kurtarma ifadesinin kaydedilmesi: 12 veya 24 kelimeyi sırayla, çevrimdışı olarak bir kalemle kağıda yazın. Ekran görüntüsü almayın, not uygulamasına kaydetmeyin, bulut senkronizasyonu kullanmayın, parola yöneticisine yazmayın, kendinize e-posta ile göndermeyin.
- Kurtarma ifadesinin saklanması: Kağıdı (veya metal bir plakayı) fiziksel olarak güvenli bir yerde, ideal olarak cüzdanı kullanacağınız cihazdan ayrı bir konumda tutun.
- Parola: Eklentinin kendisi için, kullandığınız diğer tüm parolalardan farklı, güçlü ve benzersiz bir parola belirleyin.
- Kimlik avı koruması: Bilinen kötü amaçlı alan adları için cüzdan içindeki kara listeyi etkinleştirin ve kim sorursa sorsun, kurtarma ifadenizi hiçbir web sitesine girmeyin.
- İlk fonlama: Önce büyük bir borsadan küçük bir test işlemi gönderin ve imzalamadan önce hedef adresin tamamını eklentinin onay penceresinde okuyun.
- Hesap ayrımı: dApp'ler ve küçük bakiyeler için bir hesap kullanın, uzun vadeli varlıklar için ayrı bir hesap (veya donanım cüzdanı) bulundurun.
- Onaylar: Tanımadığınız dApp'leri kullandıktan sonra token onaylarını iptal edin ve bunu tüm cüzdan için düzenli olarak tekrarlayın.
- Adres doğrulama: Herhangi bir gönderim işlemini imzalamadan önce hedef adresin tamamını mutlaka cüzdan içinde okuyun ve varsa donanım ekranında tekrar kontrol edin.
Cüzdan ve dApp risklerinin bir adım önünde nasıl kalınır?
Kripto hızlı hareket eder ve cüzdanların etrafındaki saldırılar, pazarlamadan bile daha hızlı hareket eder. Yeni bir kimlik avı kiti, taklit bir eklenti, kötü amaçlı bir onay; bunların herhangi biri, büyük bir token lansmanının taze kullanıcıları alana çektiği hafta ortaya çıkabilir. Cüzdan haberlerini, dApp açıklarını ve onay risklerini manuel olarak takip etmek kaybedilen bir oyundur; çünkü uyarı işaretleri Twitter akışlarına, GitHub sorunlarına, olay sonrası raporlara ve zamanında katılamayacağınız Telegram kanallarına dağılmış durumdadır. Zippfeed, kripto manşetlerini duygu puanlamasıyla (boğa, nötr veya ayı) ve önem derecelendirmesiyle birlikte sunar; böylece gerçekten önemli olan cüzdan ve dApp haberlerini, fonlar çoktan gittikten sonra değil, ortaya çıktıkları anda görebilirsiniz.