KYC verileriniz hedefte: Kriptoda "wrench attack" riskine dikkat

Yıllardır kripto piyasasını izliyorum. Herkes son ETF akışlarına veya Bitcoin dominansının %60'ta tıkalı kalıp kalmayacağına odaklanmışken, çok daha korkutucu bir trendi görmezden geliyorlar. "Hacklenmeyi" sanki sadece bodrum katında script yazan bir çocuğun işiymiş gibi konuşuyoruz ama bu işin yeterince dikkat çekmeyen fiziksel bir boyutu var. Bahsettiğim şey "wrench attack", yani İngiliz anahtarı saldırısı. Burada saldırganın şifrelemenizi kırmasına gerek yok; elinde fiziksel bir alet ve sizin ev adresiniz var. Eğer kripto özel anahtarlarını saklamak için güvenli bir yol arıyorsanız, en büyük açığınızın bir akıllı kontrattaki hata değil, kullandığınız her borsaya verdiğiniz KYC verileri olabileceğini anlamanız lazım. Daha fazla arka plan bilgisi için daha önce Blanche’in kripto duruşunu incelemiştik.

KYC izinin yarattığı tehlike

Çoğumuz KYC (Müşterini Tanı) sürecini sıkıcı bir bürokratik engel olarak görüyoruz. Pasaportunuzu yüklüyorsunuz, bir selfie çekiyorsunuz ve hesabınıza erişiyorsunuz. Ama benim deneyimlerime göre, aslında kimin neye sahip olduğunun yazılı olduğu küresel ve sızdırılmaya müsait bir veri tabanı oluşturduk. Bir borsa hacklendiğinde sadece şifreler sızmıyor. Tam isimler, adresler ve telefon numaraları da gidiyor.

Bunu zincir üstü (on-chain) verilerle birleştirdiğinizde ortaya bir harita çıkıyor. Kötü niyetli bir aktör, sızdırılan bir KYC veri tabanı aracılığıyla yüksek değerli bir cüzdanı gerçek bir kimlikle eşleştirebilirse, blokzincirde bir açık aramasına gerek kalmaz. Sadece nerede yaşadığınızı bulması yeterli. İşte wrench attack burada devreye giriyor. Bu, hacklemenin en ilkel hali: fiziksel şantaj. Bir botla değil, paranız olduğunu ve nerede uyuduğunuzu bilen biriyle savaşıyorsunuz. Özellikle Türkiye gibi enflasyondan kaçmak için kriptoya yönelen ve ciddi birikimlerini dijitalde tutan insanların olduğu bölgelerde bu risk daha da can sıkıcı hale geliyor.

Kripto özel anahtarlarını saklamak neden sadece yazılımla olmaz

İnsanların hangi yazılım cüzdanının daha güvenli olduğu konusunda saatlerce tartıştığını, sonra da seed phrase'lerini (kurtarma kelimelerini) masaüstünde düz bir metin dosyasında veya daha kötüsü bulut depolamada bir fotoğraf olarak sakladıklarını gördüm. Bu, felakete davetiye çıkarmaktır. Ancak, birinin orada olduğunu bildiği bir çekmeceye konmuş fiziksel bir kağıt parçası bile risk taşır.

Sorun şu ki, güvenliği dijital bir duvar olarak düşünmeye şartlandırıldık. Duvarın bir kapısı olduğunu unutuyoruz. Merkezi bir borsa kullandığınızda, kimliğinizi ve fonlarınızı onlara emanet ediyorsunuz. Eğer borsa hacklenirse, kimliğiniz hedef arayan herkes için bir işaret fişeğine dönüşür. Bu yüzden her zaman öz-saklamayı (self-custody) savundum.

Kendinizi gerçekten korumak için anahtarlarınızı çevrimdışı tutan bir donanım imzalayıcıya ihtiyacınız var. Bütçesi kısıtlı olanlar için şahsen Ledger Nano Gen5 modelini tercih ediyorum çünkü 99 dolarlık fiyat noktasına E Ink dokunmatik ekran teknolojisini getiriyor. Secure Element çipine (CC EAL6+) sahip olması, özel anahtarlarınızın internete hiç temas etmemesi demek. Ama cihaz sadece savaşın yarısı. Asıl güvenlik, kurtarma seed'ini nasıl yönettiğinizde yatıyor.

İnsanların hata yaptığı noktalar

Gördüğüm en büyük hata "güvenlik tiyatrosu". İnsanlar pahalı bir cüzdan alıyor ama sonra 24 kelimelik kurtarma ifadesini kolayca bulunabilecek bir yere saklıyorlar. Bir suçlu sizin Ledger sahibi olduğunuzu bilirse, cihazı hacklemeye çalışmaz. Yatağınızın altına sakladığınız o kağıt parçasını arar.

İnsanların VPN veya gizli tarayıcı kullanmanın yeterli olduğunu düşündüğü bir eğilim fark ettim. Daha önce Birleşik Krallık'taki P2P ticaret risklerinin hükümet baskınları nedeniyle arttığını anlatmıştım ama organize suçlardan gelen tehdit farklı. Onlar vergi kaçakçılığı peşinde değil; doğrudan paranın peşindeler.

Gerçekten güvende olmak istiyorsanız, kimliğinizi servetinizden ayırmanız gerekir. Bu, mümkün olduğunda emanetsiz (non-custodial) servisler kullanmak ve kişisel bilgileriniz konusunda inanılmaz derecede cimri olmak anlamına geliyor.

Geleceğe dair görüşlerim

Asla bir borsa kullanmayın demiyorum. Kolaylar ve bazıları için içeri girmenin tek yolu bu. Ama tüm birikiminizi pasaport taraması isteyen bir platformda tutmak bir kumardır. Borsanın güvenliğinin, sızıntıda adresinizi bulan bir suçlunun motivasyonundan daha iyi olduğuna bahis oynuyorsunuz.

Bence tek gerçek çözüm, donanım güvenliği ve aşırı operasyonel gizliliğin birleşimidir. İnsanlara ne kadar paranız olduğunu söylemeyin. Kazançlarınızı sosyal medyada paylaşmayın. Ve ne olur ne olmaz, varlıklarınızı borsadan çıkarıp soğuk bir cüzdana aktarın.

KYC döngüsünden sıkıldıysanız ve kalıcı bir iz bırakmadan varlık takas etmek istiyorsanız, StealthEX seçeneğinin sağlam olduğunu gördüm. Standart takaslar için hesap kaydı veya KYC gerektirmeyen emanetsiz bir takas servisi. Sahip olduğunuz her bir satoshinin indekslenmeye çalışıldığı bir dünyada, belli bir gizlilik seviyesini korumanın basit bir yolu.

Editörlerimizin seçtiği borsada haberleri trade edin: Gate