Kriptoların En Büyük Zayıflığı Nedir? Kör İmzalama Kavramını Anlatıyoruz

May 18, 2022
7 dk.
Orta
Özetle:
– DeFi ve NFT dApp’lerinin hızla yükselmesinin ardından kullanıcılar, akıllı sözleşmeleri çok daha karmaşık yollarla kullanmaya başladılar. Dolandırıcılar da sürekli yeni güvenlik açıkları bulma peşindeler.
Kör imzalama, varlıklarınızı çalmak isteyen dolandırıcıların faydalandığı, daha az bilinen yollardan biridir.
– Günümüzün dApp ve NFT’lerinde kullanılan akıllı sözleşmeler, yeni nesil kripto cüzdanlar için çeşitli zorluklar teşkil ediyorlar. Önemli sözleşme bilgilerini kapsayan kodları tamamen çıkarılıp görüntülenemeyeceği için kullanıcılar, esasen ne olduğunu bilmeden imzalıyorlar.
– Kriptoların ana akım hâline gelmesiyle birlikte her geçen gün daha fazla insan varlıklarını nasıl güvende tutacağını öğreniyor ve dolandırıcıların varlıklarınıza erişim sağlama olanakları azalıyor. Dolayısıyla, kapının kilidini kırıp açmak yerine, size kör imzalamayı kullandırtarak kilidi sizin açmanızı sağlamaya çalışıyorlar.
– Ledger olarak misyonumuz, her bir işleminizi mümkün olduğunca şeffaf ve güvenli bir hâle getirmek; bunun için de her işlem imzalayacağınız zaman sözleşme verilerini okuyabiliyor olmanız gerekiyor. Yayınladığımız son yükseltme, entegre edilen her dApp için açık imzalama olanağı sağlayarak bu misyonu yerine getiriyor.
Kör imzalama, henüz Ledger Live’ın bir parçası olmayan dApp’ler için hâlâ gerekli olsa da bunu güvenli bir şekilde kullanmak için bu adımları uygulayabilirsiniz.

Kör imzalamayı daha önce duyduysanız ama ne anlama geldiğini bilmiyorsanız doğru yere geldiniz. Bu konsepti burada açıklıyoruz.

Bunu okuyorsanız kriptoların son derece popüler varlıklar olduğunu biliyorsunuzdur. Coin’ler, token’lar veya NFT’ler… Hangisiyle ilgileniyorsanız ilgilenin, hepimizin en büyük önceliği varlıklarımızı güvende tutmak. “Biliyorum!” diye düşünüyor olabilirsiniz. Özel anahtarlarımı veya kurtarma ifademi kimseyle paylaşmıyorum. Bu doğru olabilir ama bu iş bununla sınırlı değil.

Kriptosferdeki DeFi ve dApp’lerin hızla yükselmesinin ardından kullanıcılar, akıllı sözleşmeleri çok daha karmaşık yollarla kullanmaya başladılar. Ve dolandırıcılar işlem süreçlerinde yeni güvenlik açıkları bulmak için her daim teyakkuzdalar. Bu da alın terinizle edindiğiniz kripto varlıkları elinizden almak için tasarlanmış olan yeni nesil dolandırıcılık yöntemlerinin ortaya çıkmasına neden oldu. Ve kripto profesyonelleri için bile bu dolandırıcılık yöntemlerini tespit etmek zor olabilir.

Kör imzalama, varlıklarınızı çalmak isteyen dolandırıcıların faydalandığı, daha az bilinen yollardan biridir. Bu yazıda kör imzalamanın ne olduğunu, kör imzalama dolandırıcılıklarının nasıl çalıştığını ve bunlardan nasıl korunabileceğinizi anlatıyoruz.

Kör İmzalama Nedir?

Bu konseptin dijital olarak nasıl işlediğini anlatmadan önce gerçek dünyada kalem kâğıt kullanarak başlayalım. Sözleşmeler kurduğumuz ilişkileri yönetmek için kullanılır. İster haftada 40 saat çalışmanızı koşul kılan bir iş sözleşmesi olsun ister her ay ödenmesi gereken bir Netflix aboneliği, bir sözleşmeyi imzaladığınızda sözleşmede yazanları yapmayı kabul etmiş olursunuz. Sözleşmeyi imzalayarak sözleşmede sunulan koşulları görmüş ve anlamış olduğunuzu ve bu koşullara bağlı kalmaya rıza gösterdiğinizi beyan edersiniz.

Dijital Sözleşme İmzalama

Akıllı sözleşmeler bunun bir dijital versiyonudur ve dApp’ler, NFT’ler ve DeFi’ların daha birçok unsurunu destekleyen altyapıdır. Borç veren birinden, karşılığında faiz ödemek üzere bir miktar kripto borç aldığınızı ve her ay belli bir tutar ödeyeceğinizi varsayalım. Özel anahtarınızı kullanarak anlaşmayı doğruladığınızda akıllı sözleşmeyi dijital olarak imzalıyor olursunuz.

Peki ya sözleşmenin kendisini gerçekte göremiyorsanız? Bu da bizi asıl sorumuza döndürüyor. 

Günümüzün dApp ve NFT’lerinde kullanılan akıllı sözleşmeler, yeni nesil kripto cüzdanlar için çeşitli zorluklar teşkil ediyorlar. Önemli sözleşme bilgilerini kapsayan kodları tamamen çıkarılamıyor ve kullanıcının anlayacağı bir dilde gösterilemiyor. Başka bir deyişle cüzdan teknolojileri, tüketicilere sunulan en yeni seçeneklere hâlâ yetişmeye çalışıyor.

Peki, Bu Benim İçin Ne Anlama Geliyor?

Bu durumun işlemlerinizi nasıl etkilediğini gerçek bir örnekle inceleyelim. Her şeyden önce şunu açıklamak gerekir: bilgisayar ekranınız üzerinden bir işlemi imzaladığınız her durumda teknik olarak kör imzalama yapmış olursunuz.

Diyelim ki sadece bir sıcak cüzdanla işlem yapıyorsunuz. Bilgisayar veya mobil cihazınızın ekranı İnternete bağlı olduğu için hacklenmeye açıktır. Yani, imzaladığınız şeyin bilgilerini gösteren ekrana tamamen güvenemezsiniz. Ekran, sahte bir görüntü göstermek üzere hacklenmiş olabilir ve farkında olmadan bambaşka bir şeyi imzalayabilirsiniz. İşlem güven üzerine kurulu olduğu için, işlemi onayladığınızda “kör imzalama” ile yaparsınız.

Ledger Nano gibi bir donanım cüzdan kullanmanın amacı bu riski ortadan kaldırmaktır. Cüzdanınız, bilgisayar korsanlarının aşamayacağı, güvenli ve çevrim dışı bir ortam sunduğu için cihaz ekranında her zaman işlemlerin doğru bilgileri gösterilir. “Güvenilir Ekran” özelliğimizin paha biçilemez olmasının sebebi de tam olarak bu; neyi onayladığınızı biliyor olmanız.

Gelgelelim, Nano cihazınız her zaman gerçek işlem bilgilerini gösterecek olmasına karşın, bunun gerçekleşmesi için bu bilgilerin erişilebilir olması şarttır. Bazı durumlarda bu bilgilere erişilemeyebilir.

Örneğin, doğru güvenlik önlemlerini aldınız ve Ledger cihazınız ile sizi dApp’e bağlayan sıcak cüzdanı birlikte kullanarak bir takas işlemi yapıyorsunuz. Bravo! 

Bununla birlikte, daha önce de belirtmiş olduğumuz üzere, cihazınız ile dApp arasında middleware (ara yazılım) görevi gören yazılım cüzdanların birçoğu işlemin akıllı sözleşme unsurlarını okuyamaz ve tamamen çıkaramaz. Yani, işlemi doğrulamak ve tamamlamak için Ledger cihazınızı kullansanız da middleware (ara yazılım) cüzdan herhangi bir bilgi aktaramadığı için cihazınız size tüm bilgileri gösteremeyebilir.  

Bunun yerine cihazda sadece “Data Present” (Veriler Mevcut) mesajı görüntülenir ve işlemi onaylamadan önce işlem türü, fiyat ve alıcı adresi gibi önemli bilgileri göremezsiniz. Örnek:

Bu sözleşmenin içeriğiyle ilgili herhangi bir bilgi olmadığı için elinizde kalan tek seçenek işleminizi güvene dayalı bir şekilde doğrulamaktır. Kör imzalama denmesinin sebebi tam olarak budur.

Bu şekilde açıklandığı zaman kör imzalama kulağa epey riskli geliyor ama çoğu insan bunu halihazırda yapıyor; en son ne zaman yeni kaydolduğunuz bir hizmetin kullanıcı sözleşmesini okuduğunuzu hatırlıyor musunuz? Gerçek şu ki birçok kararımızı sadece işlem yaptığımız karşı tarafın itibarını baz alarak veriyoruz.

Kör İmzalama Yeni Sahtekârlıklara Yol Açıyor

Kriptoların ana akım hâle gelmesiyle birlikte her geçen gün daha fazla insan varlıklarını nasıl güvende tutacağını öğreniyor ve dolandırıcıların varlıklarınıza erişim sağlama olanakları azalıyor. Dolayısıyla, kapının kilidini kırıp açmak yerine kilidi sizin açmanızı sağlamaya çalışıyorlar.

Bunun başlıca örneklerinden biri, pek tanınmayan web sitelerindeki NFT dağıtımlarıdır. NFT çılgınlığı, bu dijital varlıkların yoğun talep görmesini sağladı ve dağıtımlar da bu heyecandan faydalanmak üzere tasarlandı. NFT dağıtımı için kör imzanızı vermeden önce bir düşünün! Eğer tanınmış bir marka değilse doğruladığınız işlemin gerçekten düşündüğünüz işlem olduğundan emin olabilir misiniz?

Bu tür mesajlarda en sık kullanılan kanallardan biri de özel mesajlardır. Yakın zaman önce yaşanan bir olayda dolandırıcılar, Discord’da OpenSea’nin teknik yöneticileri gibi davrandılar. Teknik desteğe ihtiyaç duyan deneyimli bir koleksiyoner, bir hizmet danışmanıyla görüşeceğini düşünerek bir konuşma başlattı. Konuşma sırasında danışman, koleksiyonerden sözleşme bilgilerinin görünmediği bir işlem çağrısını Ledger Nano cihazını kullanarak onaylamasını istedi. Gerçekte ise koleksiyonerin onayladığı işlem, kasasına erişim sağlıyordu ve danışman aslında dolandırıcıydı. Bütün bu sürecin kendisi bir dolandırıcılıktı.

Bu olay, koşullar yeterince ikna edici olduğunda en deneyimli kripto kullanıcılarının bile hata yapabileceğinin iyi bir örneği oldu.

Güvenmeyin; Doğrulayın

Bu tür eylemlere sosyal mühendislik deniyor. Dolandırıcılar, gardınızı düşürecek kadar onlara güvenmenizi sağlayacak ortamları dikkatle oluşturuyorlar. Bu olayın kurbanı, güvenilir bir yardım merkeziyle etkileşimde olduğunu düşünerek kör imzalı işleme güvendi.

Sektörün büyüme hızının etkisiyle, kör imzalamanın artık bir norm haline gelmesi yüzünden bu tür dolandırıcılıklar her geçen gün daha çok karşımıza çıkıyor. Elimizdeki aletlerin bunları önleyecek kapasiteye ulaşmasının zamanı geldi.

dApp’leri İçim Rahat Bir Şekilde Nasıl Kullanabilirim?

Ledger olarak misyonumuz, her bir işleminizi mümkün olduğunca şeffaf ve güvenli bir hâle getirmek ve bunun için de her işlem imzalayacağınız zaman sözleşme verilerini okuyabiliyor olmanız gerekiyor. Yayınladığımız son yükseltme, entegre edilen her dApp için açık imzalama olanağı sağlayarak bu misyonu yerine getiriyor. Bu sayede, mümkün olan en güvenli ve sorunsuz deneyimi sağlamak adına kullanıcıların karşılaştıkları bu güvenlik açığı kapatılmış oluyor.

Yayınladığımız yükseltmede bu önlemleri sağlayan iki büyük gelişme var. Nano cihazınız artık çok sayıda dApp’in akıllı sözleşme bilgilerini okumak ve göstermekle kalmıyor; kısa süre önce Ledger Live’da yayınladığımız Uygulama Kataloğu sayesinde çok sayıda DeFi ve dApp’e doğrudan Ledger cihazınızın güvenli ortamından erişebiliyor. Bu sayede, sevdiğiniz dApp’lere ve hizmetlere güvenli bir şekilde erişebilmek için Ledger ekosistemini kullanabiliyorsunuz.

Kör imzalamayı geçmişte bırakalım!

Bunun sizin için ne anlam ifade ettiğini anlamak adına ParaSwap işlemi örneğine bakın:

Yukarıdaki örnekte gösterildiği üzere, Nano cihazları kusursuz güvenliğe sahip olan Güvenilir Ekranlarında sadece “Data Present” (Veriler Mevcut) mesajını göstermek yerine artık tüm işlem bilgilerini görüntülüyor. Yani, artık işlem yaparken kör bir şekilde güvenmek yerine işlemi doğrulayabileceksiniz.

Sürekli yeni entegrasyonlar yapılması sayesinde Ledger Uygulama Kataloğumuz, dApp güvenliği konusunda sektöre liderlik ediyor.

İhtiyacım Olan dApp Entegre Edilmemişse Ne Yapacağım?

Ledger Live açık kaynaklı ve açık platformlu olduğu için, hangi proje olursa olsun kendi eklentinizi yazıp Ledger Live’la uyumlu hâle getirebilir ve kullanıcıların açık imzayla işlem yapmasını sağlayabilirsiniz. Daha neyi bekliyorsunuz?

Entegrasyonlarımızın genişlemesi devam ederken bazı işlemlerin hâlâ aracı cüzdanlar gerektirebileceğini anlıyoruz. İşlemleri doğrulamak için middleware kullanıyorsanız kör imzalamanız istenebilir. Böyle bir durumda, dolandırıcılığa kurban gitmemek için uygulayabileceğiniz çeşitli yöntemler mevcut.

  • Daha önce hiç duymadığınız dApp’leri kullanmayın ve gerçek olup olmadıklarını tekrar tekrar kontrol edin.
  • Sosyal medya üzerinden gönderilen özel mesajlara şüpheyle yaklaşın ve tanımadığınız biri size ulaşmaya çalışıyorsa nedenlerini sorgulayın. Unutmayın, herkes olabilir (bağlantılara tıklamayın).
  • Hangi işlemi yapıyor olursanız olun, Ledger Nano özel anahtarlarınızı her daim çevrim dışı tutmak için çok değerli bir araç olacaktır. Cihazınız sayesinde tüm etkileşimlerinize bir güvenlik katmanı daha eklemiş olursunuz.
  • Buna ek olarak, kurtarma ifadenizi asla ve asla kimseyle paylaşmayın, İnternete bağlı bir cihazda saklamayın veya bir yazılım cüzdana girmeyin. Ledger kurtarma ifadeniz sadece Ledger cihazınıza girmek için vardır. Bunu ne kadar vurgulasak az!

Kapıdaki Güvenlik Sizsiniz

Kör imzalama iki unsurdan oluşur ve insan hatasına yol açabilecek teknolojik bir boşluk mevcuttur. Dolayısıyla, kendi muhakeme becerileriniz hiç bu kadar önemli olmamıştı.

Cüzdanınız ne kadar gelişmiş olursa olsun, kripto varlıklarınızın son savunma hattı sizsiniz. Bununla birlikte, Ledger’ın genişlemekte olan Uygulama Kataloğu, işlemin her aşamasını bizzat gözden geçirebilmenizi sağlayarak kripto dünyasının sunduğu yeni seçeneklerin keyfini, işinizi şansa bırakmadan çıkarmanızı sağlıyor.

Kripto dolandırıcılıklarını anlamak istiyorsanız “In the Head of a Scammer” (Bir Dolandırıcının Kafasındakiler) isimli School of Block bölümüzü izleyin.



İletişimde kalın

Duyurulara blogumuzdan erişebilirsiniz. Basın için iletişim:
[email protected]

Bültenimize abone olun

Desteklenen yeni coin'ler, blog paylaşımları ve özel teklifler doğrudan gelen kutunuzda