İçindekiler
- Önce netleştir: gerçekte neye sahipsin
- Tohum kelimeleri can damarın, böyle sakla
- Sıcak ve soğuk cüzdanı nasıl ayırırsın
- Eski yetkileri düzenli kontrol et ve iptal et
- Sahte destek, sahte site, sahte uygulamayı tanı
- Transferde adresi harf harf doğrula
- Uygulanabilir bir saklama listesi
- Sık sorulan sorular
Önce netleştir: gerçekte neye sahipsin
Çoğu kişi NFT aldığında «o görsel cüzdanıma girdi» sanır. Bu yanılgı, enerjini yanlış yere harcamana yol açar.
Gerçek şudur: aldığın NFT'nin sahipliği blockchain'e yazılıdır, bir adres, bir sözleşmedeki bir numarayı tutar; bu kayıt zincirdeki defterce karara bağlanır ve herkese açıktır. Görsel dosyasının kendisi çoğu zaman zincir dışında durur (örneğin IPFS veya proje sunucusunda); NFT'nin asıl kanıtladığı «o numaraya kimin sahip olduğu»dur.
Peki cüzdan uygulaman nedir? O anahtardır. Cüzdanın içinde, adresini kontrol eden özel anahtar saklanır; özel anahtarın arkasında da bir tohum kelime grubu vardır (genelde 12 ya da 24 İngilizce kelime). Başka deyişle:
Yani «NFT saklamak» dediğimiz şeyde asıl korunan tohum kelimeler ve imza yetkileridir, bir yazılım ya da bir görsel değil. Aşağıda her şeyi bu eksen üzerinden anlatacağız.
Tohum kelimeleri can damarın, böyle sakla
Tohum kelimeleri (tohum cümlesi, kurtarma cümlesi de denir) tüm güvenliğin kalbidir. Kim onu elinde tutarsa, bu cüzdanın tüm varlıklarına sahip olur. Onun etrafında yalnızca birkaç kural var ama hiçbiri çiğnenmemeli.
- Çevrimdışı yaz, ayrı yerlerde sakla. Cüzdanı oluştururken bu kelimeleri kâğıda yaz ya da yangına ve suya dayanıklı bir metal levhaya kazı, güvenli bir yere koy (tercihen iki nüsha, iki ayrı yer). Tek nüsha bırakma, hepsini aynı çekmeceye de koyma.
- Asla dijitalleştirme. Ekran görüntüsü alma, fotoğraf çekme, galeri ya da buluta koyma, mesajla/e-postayla/notlara gönderme, parola yöneticisinin bulutuna kaydetme. Çevrimiçi bir cihaza girdiği an çalınma riski doğar.
- Asla bir siteye veya sohbet kutusuna girme. Düzgün bir cüzdan tohum kelimeni yalnızca «cüzdanı kurtarırken» ister, o da cüzdan yazılımının içinde yerel olarak. Tohum kelimeni «doğrulamak», «senkronize etmek», «kilidini açmak» ya da «ödül almak» için girmeni isteyen her web sayfası, her destek, her açılır pencere istisnasız dolandırıcılıktır.
- Yazarken kimsenin görmesine izin verme. Kameralar ve omuz üstünden bakanlar dahil. Ekran kaydı ya da canlı yayında da yanlışlıkla göstermemeye dikkat et.
Bir de özel anahtardan söz edelim: özel anahtar ve tohum kelimeler aynı en yüksek yetki düzeyindedir, ele alma ilkesi tamamen aynıdır, kimseye verme, hiçbir siteye girme.
Sıcak ve soğuk cüzdanı nasıl ayırırsın
Her varlık aynı şekilde saklanmak zorunda değil. «Ne kadar sık kullanılıyor, ne kadar değerli» kıstasına göre bölmek, sıradan birinin bile uygulayabileceği pratik bir güvenlik stratejisidir.
| Tür | Nedir | İçine ne koyulur | Başlıca risk |
|---|---|---|---|
| Sıcak cüzdan | Telefon/tarayıcıda kurulu, sürekli çevrimiçi cüzdan (MetaMask, Rabby gibi) | Günlük küçük tutarlar, sık mint ve işlem yapılan varlıklar | Cihaz çevrimiçi; truva atı, oltalama imzası, yanlış yetki riski yüksek |
| Soğuk / donanım cüzdan | Özel anahtarı çevrimdışı küçük bir cihazda yalıtır, imza cihazda atılır | Uzun vadeli, değerli, sık dokunulmayan NFT ve coinler | Anahtar hırsızlığını engeller, kendi kötü imzanı engellemez; resmî kanaldan alınmalı |
Yaygın yöntem iki (ya da daha fazla) cüzdanı iş bölümüyle kullanmaktır:
- «Günlük hesap» (sıcak cüzdan): yalnızca riskini göze aldığın küçük tutarları koyarsın, çeşitli sitelere bağlanmak, etkinliklere katılmak, yeni projeleri denemek için kullanırsın. Bir gün tuzağa düşersen kayıp sınırlı kalır.
- «Kasa hesap» (soğuk / donanım cüzdan): gerçekten değerli, uzun süre tutmayı düşündüğün şeyleri koyarsın. Yabancı sitelere neredeyse hiç bağlanmaz, yalnızca transfer gerektiğinde sahneye çıkar.
Böylece günlük hesabın bir etkileşimde kötü bir yetkiyle dolandırılsa bile, kasa hesabın çok az imza attığı ve donanımla yalıtıldığı için zarar görme olasılığı çok daha düşük olur. Cüzdan türünü nasıl seçeceğini, emanet ve öz-emanet farkını daha ayrıntılı görmek için ilk cüzdanını nasıl seçersin yazısını okuyabilirsin.
Eski yetkileri düzenli kontrol et ve iptal et
NFT dünyasında bir süre dolaşınca, birçok pazaryerinde, birçok DApp'te approve (yetki) imzalamış olursun. Yetki, «bir sözleşmenin cüzdanımdaki belli bir varlığı kullanmasına izin veriyorum» demektir, NFT satışa koymak, borsada coin değiştirmek hep önce yetki ister. Sorun şu ki bu yetkiler otomatik olarak süresi dolmaz ve çoğu varsayılan olarak «sınırsız limit»tedir.
Bu şu anlama gelir: altı ay önce bir NFT satmak için verdiğin bir yetki, bugün hâlâ varlığına dokunma izni tutuyor olabilir. O sözleşmenin kendisinde bir açık varsa ya da aslında en baştan bir oltalama sözleşmesiyse, risk hep boynunda asılı kalır. Bu yüzden bir alışkanlık edin:
- Belirli aralıklarla yetkileri kontrol et. Bir blok gezgininin (Etherscan gibi) token yetki sayfasını ya da revoke.cash gibi bir aracı kullan, cüzdanını bağla ve bu adresin hangi sözleşmelere yetki verdiğini gör.
- Artık gerekmeyen, tanımadığın, limiti sınırsız yetkileri iptal et. Her iptal bir zincir üstü işlemdir, biraz gas ister; ama bu küçük maliyet karşılığında «başkası varlığına dokunabilir» açığını kapatırsın.
- Büyük işlemlerden önce ve sonra bir kez bak. Özellikle yeni bir platformda ilk kez satışa koyduktan, ilk kez etkileşim yaptıktan sonra dönüp tam olarak neye yetki verdiğini doğrula.
Yetki iptali, «olay olduktan sonra hâlâ telafi edilebilen» nadir güvenlik hamlelerindendir, zahmetine üşenme. Onunla eşleşen bir başka alışkanlık imzalamadan önce içeriği görmektir: cüzdan imza penceresi açtığında, ne yapacağına birkaç saniye bak; anlamadıysan imzalama.
Sahte destek, sahte site, sahte uygulamayı tanı
Tohum kelimelerini sıkı tutsan, yetkileri özenle yönetsen bile son kale çoğu zaman «kandırılıp gönüllü bir işlem yapmakta» düşer. Dolandırıcının en sevdiği numara, güvenilir bir tarafmış gibi davranmaktır.
- Sahte destek. Düzgün cüzdan ve pazaryerlerinin «seni özelden bulan» bir destek ekibi neredeyse hiç yoktur. Toplulukta yardım isteyince dakikalar içinde özelden «sana çözerim» diyen kişi neredeyse her zaman dolandırıcıdır. Gerçek destek yalnızca resmî destek sayfasında, resmî biletlerdedir. Hiçbir gerçek destek senden tohum kelimeni ya da özel anahtarını istemez.
- Sahte site. Oltalama siteleri alan adını yalnızca bir iki harf farkla yapar ya da reklam alıp arama sonuçlarının en üstüne çıkar. Bir alışkanlık edin: sık kullandığın siteleri yer imine ekle ve her seferinde oradan gir; arama reklamından, özel mesaj bağlantısından, yorum bağlantısından girme.
- Sahte uygulama / sahte eklenti. Cüzdanı yalnızca resmî siteden ya da resmî uygulama mağazasından indir, geliştirici adını ve indirme sayısını doğrula. Korsan cüzdan uygulamaları ve sahte tarayıcı eklentileri, sen oluştururken ya da içe aktarırken tohum kelimeni gizlice yükler.
- Sahte acil bildirim. «Cüzdanın risk altında, hemen buradan taşı», «süreli ödül, kaçırırsan iptal» türü, panik ya da açgözlülük yaratan söylemlerin amacı, düşünmene fırsat bırakmamaktır. Seni ne kadar acele ettiriyorsa, o kadar durup düşün.
Transferde adresi harf harf doğrula
NFT ya da coini bir cüzdandan diğerine taşımak, saklama sürecinin en kolay hata yapılan ve en geri alınamaz adımıdır. Adreste bir karakter yanlış olursa, varlık kimsenin bulamayacağı bir yere gider. Özellikle iki tuzağa dikkat et:
- Yanlış kopyalama / gözden kaçırma. Adres uzun bir karakter dizisidir, gözle her hanesini doğru görmek zordur. Çoğu kişi yalnızca baş ve sondaki birkaç haneyi kontrol eder, ortası değişse bile fark etmez.
- Pano değiştirme. Panoyu izleyen bir truva atı türü vardır: doğru adresi kopyalarsın ama yapıştırınca sessizce dolandırıcının adresiyle değişmiştir. Bu saldırı özellikle «kopyala yapıştır»çıları hedefler.
Güvenli yöntem: adresi yapıştırdıktan sonra baştan sona, parça parça doğrula, en azından ilk 6 hane, son 6 hane ve ortadaki birkaç parçayı göndermek istediğin hedefle karşılaştır; bir adrese ilk transferinde önce çok küçük bir test tutarı gönder, geldiğini doğrula, sonra büyük tutarı yolla. Daha sağlam olmak istersen, adresi bir doğrulama aracına koyup biçimini ve karşılığını karşılaştır, gözden kaçanı azalt.
Sitemizdeki Ethereum adres doğrulayıcı tam da bunun içindir: transfer edeceğin adresi içine yapıştır, harekete geçmeden önce bir kez doğrula. Bu adım bir dakikayı bulmaz ama telafisi olmayan birçok kaybı engeller.
Uygulanabilir bir saklama listesi
Yukarıdakileri tek listeye sıkıştırdık, günlük hayatta buna göre hareket et:
| Eylem | Yaptın mı |
|---|---|
| Tohum kelimeleri çevrimdışı yazdım, iki nüsha ayrı yerde, asla dijitalleştirmedim | Evet / Hayır |
| Tohum kelimeleri hiçbir siteye, sohbet kutusuna, destek penceresine girmedim | Evet / Hayır |
| Yüksek değerli varlıkları soğuk / donanım cüzdanda, günlük etkileşimi ayrı sıcak cüzdanda tutuyorum | Evet / Hayır |
| Donanım cüzdanını resmî kanaldan aldım, ikinci el ya da ön ayarlı cihaz kullanmadım | Evet / Hayır |
| Belirli aralıklarla eski ve şüpheli yetkileri kontrol edip iptal ediyorum | Evet / Hayır |
| İmza penceresi açıldığında içeriği görüp öyle imzalıyorum, anlamadıysam imzalamıyorum | Evet / Hayır |
| Sık kullandığım siteleri yer imine ekledim, oradan giriyorum, reklam / özel mesaj bağlantısına tıklamıyorum | Evet / Hayır |
| Transferden önce adresi harf harf doğruluyorum, büyük tutardan önce küçük test yapıyorum | Evet / Hayır |
Sık sorulan sorular
NFT'm tam olarak nerede duruyor? Cüzdan uygulamasının içinde mi?
Hayır. NFT'nin sahipliği blockchain'e yazılıdır; ona kimin sahip olduğunu zincirdeki bir adres belirler. Telefonundaki veya tarayıcındaki cüzdan uygulaması NFT'yi «içinde tutmaz», o adresi kontrol eden anahtarı (özel anahtar, arkasında bir tohum kelime grubu) tutar. Cihazı veya cüzdan yazılımını değiştirsen de aynı tohum kelimeleri içe aktardığın sürece aynı adresteki varlıkları yönetmeye devam edersin. Yani korunması gereken uygulama değil, tohum kelimeleridir.
Tohum kelimelerinin ekran görüntüsünü telefon galerisinde tutmak güvenli mi?
Hiç güvenli değil. Galeri buluta senkronize olur, telefona truva atı bulaşabilir, ödünç verilebilir ya da kaybolabilir; ekran görüntüsündeki tohum kelimeleri çevrimiçi bir ortamda açık metin anahtar gibi durur. Doğru yöntem, çevrimdışı bir kâğıda (ya da metal levhaya) yazıp ayrı yerlerde saklamaktır; asla ekran görüntüsü alma, fotoğraf çekme, sohbet uygulamasına gönderme veya bir siteye girme. Tohum kelimeni «doğrulamanı» isteyen her sayfa ya da kişi dolandırıcıdır.
Donanım soğuk cüzdan aldım, artık kesinlikle güvende miyim?
Donanım cüzdanı özel anahtarı çevrimdışı bir cihazda yalıtır ve truva atının anahtarı çalması gibi saldırıları engeller; çok değerli bir koruma katmanıdır. Ama kendi yanlış imzanı engelleyemez: bir oltalama sitesinde donanım cüzdanıyla kötü niyetli bir yetkiyi onaylarsan NFT yine transfer edilebilir. Bu yüzden donanım cüzdanı iyi alışkanlıklarla birlikte kullanılmalı, yalnızca resmî kanaldan al, imzalamadan önce içeriği gör, eski yetkileri düzenli iptal et, yüksek değerli varlıkları günlük etkileşim cüzdanından ayır.
Eski yetkileri iptal etmek neden önemli?
Bir pazaryerine ya da DApp'e verdiğin approve yetkileri otomatik olarak sona ermez ve çoğu varsayılan olarak sınırsız limittedir. Aylar önce verdiğin bir yetki, o sözleşmede bir açık varsa ya da aslında bir oltalama sözleşmesiyse bugün hâlâ varlığına dokunma izni tutabilir. Bu yüzden belirli aralıklarla revoke.cash gibi bir araçla yetkileri kontrol et ve gerekmeyen, tanımadığın yetkileri iptal et; her iptal biraz gas ister ama açığı kapatır.
Kaynaklar
Bu yazıdaki güvenlik kavramlarını aşağıdaki sayfalardan kendin doğrulayabilirsin:
- ethereum.org/security, Ethereum'un resmî cüzdan güvenliği ve oltalamaya karşı rehberi
- Etherscan token yetki denetleyici, bir adresin verdiği yetkileri gör ve iptal et
- revoke.cash, cüzdan yetkilerini topluca görüp iptal etmek için yaygın araç
- Ledger resmî site, donanım cüzdanı üreticisinin resmî sayfası (yalnızca kanal referansı)
- MetaMask Destek Merkezi, tohum kelime ve imza güvenliğinin resmî açıklaması
- Etherscan, adresle zincir üstü transferleri ve sözleşme etkileşimlerini doğrula