Donanım kripto cüzdanlarına beş tür saldırı

Donanım kripto cüzdanları, kripto para biriminizi korumada etkilidir ancak yine de çalınabilir. Sahiplerinin korunması gereken riskleri ele alalım.

Donanım cüzdanları, en güvenilir kripto para birimi depolama çözümü olarak kabul edilir. Sahibinin tüm blok zinciri işlemlerini çevrimdışı olarak imzalayan özel bir cihaz, çevrimiçi depolama veya bilgisayar uygulamalarından çok daha güvenilir görünüyor. Sonuçta, neredeyse her ay çevrimiçi kripto para birimi alışveriş platformlarının korsanlık ve iflas haberlerini duyuyoruz. Uygulamalar ise kötü amaçlı yazılım gibi düzenli bilgisayar tehditlerine karşı açıkça savunmasız.

Bu değerlendirmeler makul olsa da, yatırımlar sadece donanım kripto cüzdanlarıyla tamamen korunamaz çünkü sahipleri de bir dizi saldırıya karşı savunmasızdır. Bu doğrultuda, bunların tehditlere karşı korunmaya ihtiyacı vardır…

Sıcak ve soğuk cüzdanlar, donanım ve yazılım cüzdanları

Riskleri analiz etmeye geçmeden önce, çeşitli cüzdan türleri arasındaki farkı kısaca özetleyelim. Yeni başlayanlar için belirtelim, hiçbir cüzdan kripto varlıklarını depolamaz. Varlıklar hakkındaki bilgiler blok zincirine kaydedilirken, bir kripto cüzdanı sadece ilgili özel (gizli) anahtar için güvenli bir depolamadır. Sahibi, blok zincirine yeni bir işlem kaydetmek için yani kripto para birimi transferi yapmak için anahtara ihtiyaç duyar. Gizli anahtarın yanı sıra, kripto cüzdanları genellikle transferleri almak için kullanılan gizli olmayan bir açık anahtarı da depolar.

Özel anahtarları depolamanın birden çok yolu vardır:

  1. Sunucuda şifrelenir. Bunlar, Binance ve Coinbase de dahil olmak üzere popüler borsalar tarafından sunulan çevrimiçi veya depolama cüzdanlarıdır.
  2. Bilgisayar veya akıllı telefondaki bir mobil uygulamada.
  3. Ayrı bir çevrimdışı cihazda.
  4. Bir kağıda yazılmış alfasayısal bir dizi olarak.

Birinci ve ikinci durumlarda, anahtar depolama alanı her zaman çevrimiçidir; bu nedenle, anahtar herhangi bir zamanda blok zincirindeki bir işlemi imzalamak için kullanılabilir. Bunlar “sıcak” cüzdanlardır.

Üçüncü veya dördüncü seçenekleri kullanarak para göndermek için bazı ek eylemler gereklidir: cihazınızı bir bilgisayara veya telefona bağlamak veya kağıttan bilgi girmek. Bunlar “soğuk” cüzdanlardır.

Özel bir bağımsız anahtar depolama cihazına donanım cüzdanı denir. Bu uygulamalar, anahtarları normal bilgisayarlarda ve akıllı telefonlarda depolamak için tasarlanmış yazılım cüzdanlarıdır.

İkinci ve üçüncü seçeneklerden oluşan bir hibrit çözüm ise biraz egzotik olsa da başka bir uygulanabilir seçenek sunar: anahtarı her zaman çevrimdışı tutulan ayrı bir akıllı telefonda saklamak. Karışım, soğuk da olsa bir yazılım cüzdanı üretecektir.

Kağıt cüzdanlar hakkında birkaç söz. Kağıt cüzdan, anahtarlarınızın ve/veya kurtarma cümlenizin bir çıktısıdır (daha sonra bu konuya daha fazla değineceğiz) ve fonksiyonları para almak veya yedek olarak hizmet etmekle sınırlıdır. Paranızı harcamak için özel anahtarınızı çevrimiçi bir yazılım çözümüne göndermeniz gerekir. İşte o zaman soğuk cüzdanınız sıcak bir cüzdana dönüşür.

Donanım cüzdanı türleri

Donanım cüzdanları genellikle USB bellek çubukları veya hantal araba anahtarları gibi görünür. Bunlar, genellikle işlemleri kontrol etmek için bir ekrana sahiptir. Bir işlemi imzalamak için cüzdanı bir bilgisayara veya akıllı telefona bağlarsınız, bilgisayardan veya akıllı telefondan bir aktarım başlatır, cüzdan ekranındaki bilgileri doğrular ve PIN kodunu girerek veya sadece bir düğmeye basarak işlemi onaylarsınız. Donanım cüzdanlarının temel avantajı, özel anahtarınızı bilgisayara göndermeden işlemleri imzalamalarıdır. Böylece verileri basit hırsızlık mekanizmalarından korurlar.

Ek olarak, birçok cüzdan ekstra işlevsellik içerir ve iki faktörlü kimlik doğrulama için donanım anahtarları olarak kullanılabilir.

Banka kartına benzeyen cüzdanlar ve “çevrimdışı telefon” formatına yaklaşan cüzdanlar da vardır ancak bunlar daha az yaygındır. İkincisi tamamen işlevsel bir ekrana sahiptir ve QR kodu taraması ile işlemlerin imzalanmasına izin verir. Bu modellerin birçoğunda şarj cihazı bağlantı noktası dışında hiçbir bağlantı noktası yoktur, bu nedenle kamera ve ekran dışında hiçbir şey onları dış dünyaya bağlamaz.

Bir numaralı risk: kayıp veya hasar

Donanım cüzdanı sahibinin karşılaştığı en belirgin risk, cüzdanı kaybetme olasılığıdır. Cüzdanı yetkisiz kullanıma karşı korumak için (örneğin, kaybolması durumunda) bir PIN kodu veya biyometrik kullanın: Bunların cüzdanınızda etkinleştirilmesi gerekir. Telefonların ve banka kartlarının aksine, uzun PIN’ler kullanılabilir. Bazı modellerde 50 haneye kadar uzun PIN’ler olabilir. Sadece şunu unutmayın: Ne kadar uzun o kadar iyi demektir.

Cüzdanın fiziksel olarak imha edilmesi, üzerinde depolanan verileri de yok eder, bu nedenle özel anahtarlarınızın yedek bir kopyasına sahip olmak önemlidir. Kripto cüzdanının kendisi oluşturulduğunda bir yedek de oluşturulur: 12 veya 24 İngilizce kelimeden oluşan bir dize ile temsil edilen kurtarma cümlesini göreceksiniz. Bunları doğru sırada girerek hem genel hem de özel anahtarlarınızı yeniden oluşturabilirsiniz. Kurtarma cümlesi oluşturma çoğu blok zinciri çözümünde (BIP39 algoritması) standartlaştırılmıştır, bu nedenle, örneğin bir Ledger cüzdanı kaybolsa bile, verilerinizi Trezor gibi başka bir satıcıdan veya “sıcak” yazılım cüzdanlarından herhangi birinden bir donanım cüzdanına kurtarabilirsiniz.

Kurtarma cümlesini, telefonunuzdaki bir fotoğraf, bir metin dosyası veya benzeri gibi hazır bulunan herhangi bir dijital formda tutmamak önemlidir. İdeal olarak, kağıda yazılmalı ve kasa gibi çok güvenli bir yerde saklanmalıdır. Kurtarma cümlesini asla kimseye açıklamamak daha da önemlidir çünkü tek işlevi kayıp kripto cüzdanınızı kurtarmaktır.

İki numaralı risk: Kimlik avı ve dolandırıcılıklar

Bir donanım cüzdanı, sosyal mühendisliğe karşı hiçbir koruma sağlamaz. Kurban gönüllü olarak bir transfer yapmayı veya kurtarma cümlesini sahte bir “kripto cüzdan teknik destek uzmanına” açıklamayı seçerse hangi donanım koruma seviyeleri olursa olsun para gitmiş olacaktır. İnsanlar dolandırıcılık söz konusu olduğunda ustadır: Tuzaklar her zaman değişmeye devam eder. Bazı öne çıkan örnekler arasında donanım kripto cüzdan sahiplerine gönderilen veri ihlali e-postaları ve tanınmış kripto para birimi borsalarının veya kripto cüzdan sağlayıcılarının tam kopyaları olarak tasarlanmış sahte web siteleri bulunmaktadır.

En kötüsünün olmasını önlemek için tedbir – ve hatta beklenmedik her şeye karşı paranoyak (olumlu anlamda) derecede güvensizlik – gerekir. Bir diğer harika yardım kaynağı da bilgisayarlar ve akıllı telefonlar için entegre siber güvenlik sistemi ürünüdür ve bu da bir kimlik avı sitesini ziyaret etme riskini neredeyse sıfıra indirir.

Üç numaralı risk: kötü amaçlı yazılımlar

Virüs bulaşmış bilgisayar veya akıllı telefonlar, kripto para birimi yatırımlarının kaybedilmesinin yaygın bir nedenidir. Kurban çevrimiçi (sıcak) bir cüzdan kullanıyorsa suçlular özel anahtarı çalabilir ve cüzdanı boşaltmak için ihtiyaç duydukları işlemleri kendi başlarına gerçekleştirebilirler. Hile bir donanım cüzdanında işe yaramaz ancak bu durumda başka saldırı vektörleri kullanılabilir. Örneğin, kurban meşru bir transfer yaptığı anda, kötü amaçlı yazılımlar parayı suçlulara yönlendirmek için hedef cüzdanın adresini değiştirebilir. Bunu çekmek için kötü amaçlı yazılımlar panoyu izler ve oraya bir kripto cüzdan adresi kopyalanır kopyalanmaz, dolandırıcıların cüzdan adresiyle değiştirir.

Tehdit, sıcak cüzdanda veya soğuk cüzdan ekranında görüntülenen adresleri dikkatle eşleştirerek bir dereceye kadar azaltılabilir ancak cihaza bağlı olarak başka bazı sorunlar da devreye girebilir: Birçok donanım cüzdanı, uzun blok zinciri adreslerini yeterince okumak için çok küçük bir ekrana sahiptir. Donanım cüzdanının bilgisayar uygulamasıyla entegrasyonunun da saldırılara karşı savunmasız olabileceğini bilerek, bilgisayar ekranında görüntülenen adres bile tahrif edilebilir.

En iyi strateji, kötü amaçlı yazılımları uzak tutmak için bilgisayarınızın veya akıllı telefonunuzun korumasını artırmaktır.

Dört numaralı risk: sahte ve değiştirilmiş cüzdanlar

Bir donanım cüzdanı satın almak, dikkatle yaklaşılması gereken bir başka konudur: Fabrikadan ayrılırken bile, bu cihazlar zaten suçluların hedefindedir. Kripto cüzdan alıcılarına Truva atı yüklerine sahip USB bellek çubukları, değiştirilmiş ürün yazılımına sahip sahte birimler veya »garanti kapsamındaki arızalı bir cihaz için ücretsiz yedek”satıldığına dair raporlar mevcuttur.

Bu tür tehditlerden kaçınmak için donanım kripto cüzdanlarını asla ikinci elden, çevrimiçi sınıflandırılmış reklamlardan veya çevrimiçi açık artırmalardan satın almayın. Her zaman satıcıların resmi çevrimiçi mağazalarından sipariş vermeye çalışın. Paket geldiğinde, cihazı hasar açısından inceleyin (yapıştırıcı çizgileri, çizikler, kurcalama belirtileri) ve genellikle ana orijinal özelliklerini listeledikleri ve sahte bir şeyin nasıl tanınacağına dair önerilerde bulundukları resmi web sitesinde verilen açıklamayla eşleştirin.

Beş numaralı risk: bellek analizi ile fiziksel korsanlık

Bu en egzotik – en ihtimal dışı değil – tehdittir. Popüler cüzdan modellerine (bir, iki, üç, dört) yapılan birçok saldırı, üniteyi fiziksel olarak parçalayarak ve devresini özel ekipmana bağlayarak, ürün yazılımını manipüle edebileceği, bellekten okuyabileceği veya ünitenin bileşenleri arasındaki veri aktarımına müdahale edebileceği gerçeğine dayanmaktadır. Sonuç olarak, özel anahtarın veya hafif şifrelenmiş sürümünün çıkarılması dakikalar alır.

Bu riske karşı koruma iki katlıdır. İlk olarak, cüzdanınızın fiziksel güvenliğine özellikle dikkat edin, hırsızlıktan koruyun ve asla gözetimsiz bırakmayın. İkincisi, Trezor cüzdanlarındaki parola gibi ekstra koruma önlemlerini göz ardı etmemelisiniz.

İpuçları

Uçakta sahte Wi-Fi

Yakın zamanda gerçekleşen bir tutuklama olayının da kanıtladığı gibi, seyir halindeyken bile siber tehditler dijital hayatınızı alt üst edebilir. Peki deniz seviyesinden 10.000 metre yükseklikte kendinizi nasıl koruyabilirsiniz?