Bir kripto portföy takipçisi, cüzdanlarınızdan ve borsalarınızdan bakiye ile işlem verilerini çekerek her şeyi tek bir yerde görmenizi sağlar; bunu yapabilmek için adreslerinizi, varlıklarınızı, işlem geçmişinizi ve genellikle IP adresinizle e-postanızı görmesi gerekir. Salt okunur erişim, fonlarınızı hareket ettiremeyeceği anlamına gelir, ancak verilerin cihazınızda kalacağı veya çalınamayacağı anlamına gelmez.
Öne çıkanlar
- "Salt okunur" ifadesi işlem imzalamayla ilgilidir, veri ifşasıyla değil; bu nedenle bir takipçi hâlâ sahip olduğunuz her adresi, her bakiyeyi ve bağlı borsada yaptığınız her işlemi görebilir.
- Cihazınızdan ayrılan veriler genellikle cüzdan adreslerini, tüm işlem geçmişlerini, merkezi borsa işlem kayıtlarını, IP adresini, cihaz parmak izini ve e-postayı içerir; bunların büyük bölümü takipçinin sunucularında, yerel olarak değil, saklanır.
- Vergi dışa aktarma özellikleri, kimlik hırsızlarının ve oltalama saldırganlarının istediği kayıtları tam olarak tek bir yerde toplar; bu da takipçiyi yüksek değerli bir hedef hâline getirir.
- CoinStats, Zerion ve diğerlerinde yaşanan geçmiş ihlaller, başarısızlık biçimlerinin gerçek olduğunu gösteriyor: çalınan API anahtarları, ele geçirilen anlık bildirim servisleri ve hedefli oltalama için kullanılan sızan e-posta listeleri.
Bir portföy takipçisinin vaadi ile gerçekte yaptığı
Zerion ve CoinStats'ten Delta, Blockfolio'ya ve Coinbase ya da Binance gibi borsalardaki uygulama içi portföy sekmesine kadar her yaygın kripto portföy takipçisi aynı fikri satar: varlıklarınızı bağlayın, cüzdanlar, borsalar ve zincirler arasındaki net değerinizin tek temiz bir görüntüsünü görün.
Pazarlama dili neredeyse her zaman aynıdır. "Salt okunur erişim." "Fonlarınız cüzdanınızda kalır." "Banka düzeyinde güvenlik." "Özel anahtarlarınıza asla dokunmayız." Beş uygulamayı karşılaştıran bir başlangıç seviyesindeki kullanıcı için bu dil güven verici ve büyük ölçüde aynı gelir; tam da bu yüzden açılıp incelenmeyi hak eder.
Kriptoda "salt okunur" ifadesinin belirli bir teknik anlamı vardır: verdiğiniz kimlik bilgileri, tek başlarına, fonlarınızı hareket ettiren bir işlemi imzalayamaz. Bir cüzdan "görüntüleme anahtarı" veya "yalnızca izleme adresi" ETH gönderemez. İşlem yetkisi olmadan kapsamlandırılmış bir merkezi borsa salt okunur API anahtarı, Binance'de emir veremez. Bu dar anlamda pazarlama doğrudur.
Pazarlamanın neredeyse hiç açıklamadığı şey ise diğer yarısıdır. Salt okunur, imzalama ile ilgilidir, görme ile değil. Paralarınızı hareket ettiremeyen aynı kimlik bilgisi, onlarla ilgili her şeyi hâlâ okuyabilir: cüzdanınızdaki her adres, her token bakiyesi, her geçmiş işlem, işlem yaptığınız her karşı taraf ve merkezi borsa söz konusu olduğunda, o hesapta şimdiye kadar yaptığınız her işlem, yatırma ve çekme.
Cihazınızdan aslında hangi veriler ayrılıyor
Size bir portföy gösterebilmek için takipçinin sizden belirli bir veri demeti alması gerekir. Tam liste uygulamaya göre değişir, ancak kategoriler tüm kategoride sabittir.
Kendi saklamalı cüzdan bağlantısından (WalletConnect, MetaMask "salt okunur" modu veya manuel adres içe aktarma): bağladığınız her cüzdanın genel adresi veya xPub/genişletilmiş genel anahtarı; bu, kullanmış olup olmadığınızdan bağımsız olarak türetilmiş adreslerin tam ağacını ortaya çıkarır; ayrıca bu adreslerle ilişkili tüm zincik üstü işlem geçmişi ve her senkronizasyon anındaki token bakiyeleri ile NFT varlıkları. Özellikle bir xPub, o cüzdandaki geçmiş ve gelecekteki her adrese kalıcı bir penceredir; bu nedenle cihazınızdan bir kez çıktığında onu kolayca geri çekemezsiniz.
Merkezi bir borsa API anahtarından: anahtarın kendisi ve verdiğiniz kapsamlar; genellikle hesap bakiyelerini "okuma", işlem geçmişini "okuma" ve bazen yatırma adreslerini "okuma". Anahtarı oluştururken yanlışlıkla "işlemi etkinleştir" veya "çekimi etkinleştir" kutusunu işaretlediyseniz, takipçi sizin adınıza emir de verebilir ya da çekim başlatabilir. Çoğu yaygın takipçi işlem ve çekim kapsamlarını kapalı bırakmanızı söyler, ancak onay kutusu borsa tarafındadır ve birçok kullanıcı bunu olduğu gibi geçer.
Bağlantı türünden bağımsız olarak cihaz ve ağ katmanından: yaklaşık coğrafi konumunuzu ve İnternet servis sağlayıcınızı sızdıran IP adresiniz, kullanıcı aracısı dizginiz ve cihaz parmak iziniz, e-posta adresiniz (hesap oluşturmanız gerekir) ve bildirimlere kaydolursanız anlık bildirim token'ınız. Uygulama üçüncü taraf analiz araçları kullanıyorsa, yukarıdakilerin tümü bu satıcılara da gönderilir.
Bu verilerin neredeyse hiçbiri yalnızca telefonunuzda saklanmaz. Takipçinin tüm işi, size bir pano gösterebilmek, cihazlar arasında senkronize edebilmek ve (birçok durumda) vergi raporlarını, uyarıları ve fiyat akışlarını besleyebilmek için bunları bir sunucuda toplamaktır. Sunucuda toplama, ürünün kendisidir. Gizlilik riskinin de bulunduğu yer tam burasıdır.
"Salt okunur" ile "özel" neden aynı şey değildir
Ethereum veya Bitcoin gibi herkese açık bir blokzincirde her cüzdan adresi zaten herkese açıktır. Adresinizi bilen herkes, blok gezgininde bakiyelerinize ve geçmişinize bakabilir. Dar bir anlamda, bir portföy takipçisi sadece sizin adınıza herkese açık verilere bakmaktadır.
Ancak "Etherscan'a tek bir adres yapıştırabilirim" ile "tek bir şirketin e-postamı, IP'mi, cihazımı ve şimdiye kadar kullandığım her adresi birbirine bağlayan aranabilir bir veritabanına sahip olması" arasında büyük bir fark vardır. Bu toplulaştırma, gizlilik açısından önemli olan olaydır ve takipçinin sunucularının fiilen elinde tuttuğu şeydir.
Bu toplulaştırmayı hafif rahatsız edici olmaktan gerçek anlamda riskli hale getiren üç şey:
1. Adres kümeleme sizi deanonimleştirir. Takipçinin birkaç adresiniz olduğunda, o (ve veritabanını çalan herhangi bir saldırgan) bunları aynı kişiye ait olarak gruplandırabilir. Bu kümeyi herkese açık ENS adları, Twitter ifşaları, borsa KYC sızıntıları veya halka açık olarak paylaştığınız bağış adresleriyle çapraz referanslayın ve kümenin aniden bir adı olur.
2. Veriler bir hedeftir. E-postayı çoklu zincir net servetine, işlem geçmişine ve borsa hesaplarına eşleyen bir veritabanı, organize kimlik avı gruplarının, fiziksel "baskı saldırganlarının" ve kimlik hırsızlarının istediği veri kümesidir. Aynı zamanda vergi dairelerinin, dava taraflarının ve boşanma davalarındaki eski partnerlerin subpoena ile isteyebileceği veri kümesidir.
3. İhlaller varsayımsal değildir. Bu kategori zaten birden fazla kez vuruldu ve aşağıdaki vakalar rivayet değildir.
Pazarlamanın bahsetmeyeceği gerçek ihlaller ve ramak kala olaylar
Tek bir olaydan çok örüntü önemlidir. Portföy takipçileri, saldırganların istediği üç şeyin kesişim noktasında durur: bir kripto kullanıcı listesi, ne kadar kripto tuttuklarının kanıtı ve bazen bu fonlara doğrudan ulaşabilecek kimlik bilgileri veya API'ler.
CoinStats, Haziran 2024. Saldırganlar CoinStats'in iç sistemlerini ele geçirdi ve platformun kendi anlık bildirim özelliğini kullanarak 1.590 kullanıcı cüzdanına kimlik avı bağlantıları gönderdi. Sahte istemler, uygulamanın bu kullanıcılar hakkında zaten sahip olduğu veriler kullanılarak kişiselleştirildi, bu da onları alışılmadık şekilde ikna edici hale getirdi. CoinStats olayı açıkladı, ürünün bazı bölümlerini kapattı ve etkilenen kullanıcıları pencere sırasında alınan tüm imza isteklerini kötü niyetli olarak ele almaları konusunda uyardı.
Zerion, Aralık 2022. Bir saldırgan kısa süreliğine Zerion'ın salt okunur API uç noktasına erişim elde etti ve bunu başka yerlerde kötü niyetli işlemleri imzalamaya kandırılan kullanıcıların cüzdanlarını boşaltmak için kullandı. Zerion'ın kendi salt okunur altyapısı fonları taşımak için kullanılmadı, ancak olay, ele geçirilen bir takipçinin kullanıcı tabanına yönelik daha fazla saldırı için nasıl bir sıçrama tahtasına dönüşebileceğini gözler önüne serdi.
Blockfolio (şimdi FTX app), Ekim 2020. Blockfolio'nun "Signal" anlık bildirim sistemi ele geçirildi ve uygulamanın kullanıcı tabanının yaklaşık yarısına pornografik içerikler de dahil olmak üzere istenmeyen mesajlar göndermek için kullanıldı. Herhangi bir fon kaybedilmedi, ancak ihlal, yeni satın alınmış bir şirkette operasyonel güvenliğin ne kadar ince olduğunu ortaya koydu.
Tedarik zincirindeki üçüncü taraf SaaS. Birden fazla takipçi ve borsa, kendi kodlarıyla değil, verileri paylaştıkları bir satıcı yoluyla kullanıcı verilerinin ifşa edilmesine maruz kaldı; buna analiz araçları, müşteri destek platformları ve e-posta hizmeti sağlayıcıları dahil. Bu, Twilio ve Mailchimp gibi şirketleri vuran ihlalle aynı sınıftadır ve kripto kullanıcıları, sektör genelinde kripto dostu KYC ve katılım araçlarının kullanılması nedeniyle bu veri kümelerinde orantısız şekilde temsil edilir.
Ortak nokta: her vakada saldırganın "bir blokzinciri hacklemesi" gerekmedi. Zaten verileri onlar için toplamış olan bir şirketi hacklediler.
Bir veri bal küpü olarak vergi dışa aktarma özelliği
Çoğu yeni başlayan kullanıcı, her şeyden önce tek bir nedenle bir portföy takipçisi benimser: vergi sezonu. ABD IRS kriptoyu mülk olarak değerlendirir, birçok başka yargı bölgesinin de benzer kuralları vardır ve yüzlerce ya da binlerce işlem üzerinden beyanname vermenin tek gerçekçi yolu, maliyet esası hesaplamasını zaten yapmış bir araçtan düzenli bir CSV veya PDF dışa aktarmaktır.
Vergi dışa aktarımları kullanışlıdır ve aynı zamanda uygulamanın en hassas tek özelliğidir. Bunları oluşturmak için takipçinin tek bir yerde, her bir borsadaki çok yıllık işlem geçmişinizi, her cüzdandan cüzdana transferi, gerçekleşen her kazancı, tüm fiat yükleme geçmişinizi ve (dışa aktarım "tam" modunu içeriyorsa) bazen yatırma ve çekme adreslerinizi tutması gerekir. Bu, çoğu bankanın sizin hakkınızda tek bir dosyada tuttuğundan daha eksiksiz bir finansal yaşam tablosudur.
Bunun ardından iki pratik risk gelir:
Saklama süresi. Vergi kayıtları birçok yargı bölgesinde yaklaşık yedi yıl saklanmalıdır. Takipçiniz de bunları yedi yıl tutuyorsa, bu veriler gelecekteki tüm ihlaller, liderlik değişiklikleri veya satın almalar dahil o tüm süre boyunca veritabanında kalır. Bazı takipçiler hesap kapatıldığında vergi verilerini açıkça siler; diğerleri yasalarca zorunlu tutulan süre boyunca saklar. Saklama politikası genellikle gizlilik politikasının içinde gömülüdür.
Aktarımdaki dışa aktarım dosyaları. Dizüstü bilgisayarınıza indirdiğiniz CSV bir saldırı yüzeyidir; ek olarak e-posta gelen kutunuzda ek olarak duran aynı CSV başka bir saldırı yüzeyidir. Bunu bulut senkronizasyonunda (iCloud, Google Drive, Dropbox) da saklıyorsanız ve o hesap ele geçirilirse, vergi dışa aktarımı bulut kimlik bilgilerinizi çalan kişinin erişebileceği bir kripto varlıkları haritasına dönüşür.
Dürüst çerçeveleme: vergi özellikleri kullanışlıdır ve tam olarak bir saldırganın, bir davacının veya hasmane bir devlet aktörünün bulmak istediği verileri yoğunlaştırır.
Gizliliği koruyan alternatifler (ve dengeleri)
"Takipçiye her şeyi ver" ile "hiçbir şeyi takip etme" arasında bir seçim yapmak zorunda değilsiniz. Bir orta bant var, ancak bu size kolaylık olarak pahalıya patlar.
Yalnızca yerel takipçiler. Rotki, Koinly'nin masaüstü modu veya açık kaynaklı bir takipçinin kendi kendine barındırılan bir örneği gibi araçlar verilerinizi makinenizde tutar. Rotki özellikle adreslerinizin, API anahtarlarınızın ve işlem geçmişinizin siz açıkça senkronize etmeyi seçmedikçe cihazınızdan asla çıkmaması ilkesi etrafında inşa edilmiştir. Takas, cihazlar arası gösterge paneli olmaması, mobil uygulama senkronizasyonu olmaması ve kendi yedeklemelerinizden kendinizin sorumlu olmasıdır.
Salt okunur, API anahtarı yok, manuel adres listesi. Bir takipçinin "izleme moduna" hiçbir API anahtarı vermeden bir adres listesi yapıştırabilirsiniz. Adresleri yine de takipçinin sunucusuna gönderirsiniz, bu takipçi yine IP'nizi ve e-postanızı bilir, ancak bir API anahtarının kötüye kullanılması veya yanlış kapsamlara sahip olma riskini ortadan kaldırırsınız. Bu, karar ağacındaki "toplulaştırma istiyorsanız bunu kullanın" seviyesidir.
Blok gezgini + elektronik tablo. Az sayıda cüzdanı ve borsası olan kullanıcılar için Etherscan gibi bir blok gezgininin her bir borsadan manuel CSV dışa aktarımlarıyla birleştirilmesi bir portföyü yeniden oluşturmak için yeterlidir. Yorucudur ve DeFi pozisyonlarını iyi işlemez, ancak veriler hiçbir zaman üçüncü taraf bir veritabanında durmaz.
Birden fazla kimlik. Bazı gizlilik bilincine sahip kullanıcılar, varlıklarını bilinçli olarak çeşitli cüzdanlara ve takipçi hesaplarına böler, böylece tek bir güvenlik ihlali tüm tabloyu ortaya çıkarmaz. Bu, paranoya değil operasyonel güvenliktir: geleneksel finansta yatırımları çeşitli aracı kurumlara bölmenin işe yaradığı şekilde çalışır.
Donanım cüzdanı + yerel portföy görünümü. Ledger Live ve Trezor Suite gibi cüzdanlar, merkezi bir toplayıcı yerine doğrudan düğümlerle konuşan bir portföy görünümü içerir. Yine de adreslerinizi sorguladığınız düğümlere sızdırırsınız, bu kendi başına bir değerlendirmedir, ancak hiçbir tek şirket demeti elinde tutmaz.
Nasıl seçilir: bir karar ağacı
En basit cevabı istiyorsanız: çoğu yeni başlayan, neyin karşılığında işlem yaptığını anladığı sürece, yaygın bir tracker kullanarak gayet iyi idare edebilir. Takas edilen şey kolaylık karşılığı veridir ve asıl soru bu takası bilerek yapıp yapmadığınızdır.
Daha net bir kural istiyorsanız:
Yaygın bir tracker kullanın (Zerion, CoinStats, Delta vb.) eğer temiz bir gösterge paneli istiyorsanız, adreslerinizin ve işlem geçmişinizin üçüncü taraf bir sunucuda tutulmasını kabul ediyorsanız, CEX API anahtarlarını yalnızca "okuma" yetkisiyle oluşturuyor ve borsa tarafında IP kısıtlaması uyguluyorsanız, kurulum sırasındaki tüm isteğe bağlı izinleri kapatıyorsanız ve özel bir e-posta ile güçlü, benzersiz bir parola ve iki faktörlü kimlik doğrulama kullanıyorsanız. Kaydolmadan önce tracker'ın geçmiş güvenlik olaylarını inceleyin.
Yerel bir tracker kullanın (Rotki, kendi sunucunuzda barındırılan veya elektronik tablo) eğer varlıklarınız bireysel hedef haline gelmeyi gerçekçi bir tehdit haline getirecek kadar büyükse, vergi beyan ettiğiniz yetki alanı çok yıllık geçmiş gerektiriyorsa, cihazlar arası senkronizasyona ihtiyacınız yoksa ve kendi yedeklemelerinizi yönetmeye razıysanız. Kurulum için bir hafta sonu ayırmayı göze alın.
Herhangi bir tracker'ın yalnızca izleme amaçlı adres listesi modunu kullanın eğer herhangi bir API anahtarı vermeden portföy toplamak istiyorsanız, bakiyeleri elle yenilemeye razıysanız ve tracker'ın yine de adres listenize, e-postanıza ve IP'nize sahip olacağını anlıyorsanız. Bu, çoğu kullanıcı için en güvenli "merkezi" seçenektir.
Tracker'ları tamamen atlayın eğer kripto faaliyetiniz gerçekten küçükse, yalnızca bir veya iki borsada varlık tutuyorsanız ve maliyet esası hesaplamalarına ihtiyacınız yoksa. Borsanın kendi içindeki portföy görünümü, vergi için yıllık dışa aktarma ile birleştirildiğinde, yeterlidir.
Her durumda, uygulama seçiminden çok operasyonel alışkanlıklar belirleyicidir: kullanmayı bıraktığınız CEX API anahtarlarını iptal edin, API anahtarını hizmetler arasında yeniden kullanmayın, vergi dışa aktarmalarını şifrelemeden bulutla senkronize edilen klasörlerde saklamayın ve herhangi bir tracker'a herhangi bir zamanda yapıştırdığınız her adresin sonunda bir veri ihlalinde yer alacağını varsayın.
Kripto araç haberlerini akıllıca takip etme yolları
Portföy tracker'ları sahip değiştirir, satın alınır, güvenlik ihlalleri yaşar ve veri toplama faaliyetlerini sessizce genişletir. Bu kategori, sahte bir tracker'ın sahte bir borsadan daha ikna edici bir oltalama aracı olması nedeniyle, çoğu "kripto uygulama" dolandırıcılığının da kaynağıdır. Bu araçlarla ilgili haberleri elle takip etmek, verilerinizi gerçekten etkileyen birkaç olay bildirimini ve politika değişikliğini bulmak için onlarca düşük sinyalli ürün güncellemesini elemek anlamına gelir. Zippfeed, kripto araçlarına dair manşetleri duygu puanlamasıyla öne çıkararak, kullandığınız bir tracker hakkındaki bir haberin piyasa tarafından boğa, nötr veya ayı olarak değerlendirilip değerlendirilmediğini hemen görmenizi ve önem derecesi sayesinde sıradan bir uygulama güncellemesini gerçek bir güvenlik açıklamasından, gelen kutunuza ulaşmadan ayırt edebilmenizi sağlar.