Artık kendiniz olduğunuzu kanıtlamak her geçen gün daha da zorlaşıyor. Phemex CEO’su Federico Variola’nın bu sözü, kripto para ekosisteminde gün geçtikçe büyüyen bir endişeye işaret ediyor: Eskisi gibi yalnızca akıllı kontratlar ya da altyapı hatalarından ibaret olmayan, çok daha derin bir mesele var.
Geçtiğimiz günlerde yapılan bir panelde, Ledger’ın Deneyim Direktörü Ian Rogers ve siber güvenlik şirketi Hacken’in kurucu ortağı ve CEO’su Dmitry Budorin ile birlikte konuşan Variola, kripto para güvenliğindeki tehditlerin nasıl ortaya çıktığını anlattı. AI ile araçlar değişiyor ancak zayıf halka hâlâ insanlar: Nasıl iletişim kuruyoruz, hızlıca nasıl karar alıyoruz, kime güveneceğimize nasıl karar veriyoruz?
Buradaki ana unsur ise günlük alışkanlıklarımız. Kripto para borsaları ve cüzdan’lar arasında, olayların nasıl yaşanacağını davranışlarımız belirliyor. Federico Variola’ya göre bu; borsaların süreçlerini oluşturmasında, belli noktalara engeller koymasında ve insanların cüzdan, sosyal medya ya da zincir üstü kimliklerle olan ilişkisini şekillendirmesinde çok belirleyici.
Daha Fazla Değer, Daha Büyük Hedefler
Panelin erken aşamasında Federico, sektörün kendi kendine sürekli sorduğu kritik bir soruya odaklandı: Kripto piyasasında güvenlik mi kötüleşiyor yoksa saldırgan’lar mı daha iyiye gidiyor?
Sponsored‘Büyük ihtimalle bu yıl, siber suçlar açısından en kötü yıl oldu; gelecek yıl ise daha da kötü geçecek. Bunun nedeni bizim güvenlikte kötüye gitmemiz değil. Aksine, ortada çok daha yüksek bir değer var. Değer arttıkça, ödül büyüyor. Ödül büyüdükçe, bu değeri almak isteyen kişi sayısı da artıyor.’ dedi.
Kripto para sektörü büyüdükçe, saldırgan’ların iştahı da kabarıyor. Variola’ya göre bu da sürekli bir dengesizliğe yol açıyor: Saldırı teknikleri genellikle güvenlik önlemlerinden çok daha hızlı gelişiyor, özellikle boğa piyasalarında korunmak daha da zorlaşıyor.
‘Belki de şu an öyle bir ara dönemdeyiz ki, saldırı yetenekleri korumadan çok daha hızlı gelişiyor. Her boğa piyasasında ise çok makul görünen insanlar, güvenlikten ya da kendi kendine saklamadan (self-custody) ödün vermenizi öneriyor – sonu hep aynı yere varıyor.’ dedi.
Rogers ise bu noktayı basit bir örnekle açıkladı: Kripto dünyasında deneyimli, hatta cüzdan geliştiren kişiler bile Discord ya da tarayıcı cüzdan’larından gelen sahte bağlantılarla dolandırılabiliyor. Yani deneyim önemli ama sürekli dikkat şart; ihmale gelmiyor.
Kimlik Zayıf Nokta Olduğunda
Variola’nın en büyük değişim olarak gördüğü alan ise saldırıların nasıl uygulandığı.
‘Bu aktörler genellikle çok iyi finanse edilmiş durumda, bazen devlet destekli olanlar bile var ve öyle bir hızla hareket ediyorlar ki yakalamak neredeyse imkansız. Hepimizin kullandığı AI ve otomasyon gibi araçlar çift taraflı kılıç gibi: Biz kullanabiliyorsak saldırgan’lar da kullanabilir. Sosyal saldırılar giderek karmaşıklaşıyor. Benim görüntümü taklit edip video aramalarında yatırımcıları ya da iş ortaklarını dolandırmaya çalıştılar.’ dedi.
Ian Rogers da soğuk cüzdan cephesinden benzer bir gözlem paylaştı: Bugün birçok saldırı teknolojiden çok psikolojiyle ilgili. Variola’nın dikkat çektiği gibi, borsaların pratikte gördüğü şey de bu: Sistemleri kırmaktansa insanları kandırmak genellikle daha kolay.
Panelde Rogers da şunu vurguladı: ‘Hepimiz bunun kurbanı olabiliriz.’ Kripto dünyasında uzman olan ekiplerde bile; tanışıklık, aciliyet ve iyi hazırlanmış sosyal mühendislik yöntemleri, güçlü güvenlik önlemlerini bile kolayca aşabiliyor.
Kripto Para Borsası Gerçeği: Soğuk, Sıcak ve İnsanileşen Yaklaşım
Borsa açısından bakınca Federico, garantilerle varsayımlar arasındaki farka dikkat çekti.
‘Kullanıcıya verdiğimiz garantilerin tartışılmaz olması gerekiyor ve bu da soğuk cüzdan. Bundan taviz veremeyiz. Sıcak cüzdan’lar ise zaten tanımı gereği her daim çevrimiçi olduklarından doğal olarak risk taşıyor.’ dedi.
Piyasanın hareketli olduğu dönemlerde ise bu riskler katlanıyor.
Sponsored Sponsored‘Boğa piyasasında kullanıcılar sıcak cüzdan’ların dolu olmasını bekliyor. Hızlı hareket ediyorlar, özellikle altcoin’lerde ciddi miktarlar taşıyorlar. Kullanıcı talepleri çok daha baskın hale geliyor.’ dedi.
İşte burada büyük bir baskı doğuyor: Kullanıcı hız ve kolaylık istiyor; güvenlik ise çoğu zaman süreci biraz zorlaştırıyor, gereksiz gelmiş gibi görünüyor.
‘Fonları güvenli tutabilmek için kullanıcılar ne isterse istesin araya ek engeller koymak zorundasınız. Bir noktada, kendi kullanıcılarınızla bile ters düşmeniz gerekebiliyor.’ dedi.
Bu durum kripto para borsaları için rahatsız edici ama Federico’ya göre uzun vadeli güvenlik için mecburi. ‘İşleyen demir ışıldar’ misali, günlük disiplin bırakıldığında sistem kolayca işlemiyor.
Deneyimin Sizi Öğrettikleri
Panelde Variola, Phemex’in geçen yıl yaşadığı bir güvenlik olayına da kısaca değindi.
‘En büyük derslerimizden biri, aslında düşündüğümüzden çok daha büyük bir hedef olduğumuzu görmemiz oldu.’ dedi.
Buradan çıkan asıl mesaj ise insanların rolüydü.
‘Phishing ve sosyal mühendislik saldırılarının ne kadar yaygın olduğunu ve önce yapının en alt katmanındaki; stajyer, tasarımcı, kendini güvenlik kritik görmeyen kişileri hedef alıp, oradan yukarıya doğru tırmanarak daha önemli rollere ulaşmaya çalıştıklarını yeterince ciddiye almadık.’ dedi.
Dmitry Budorin ise saldırıların çalışma biçimini veciz bir benzetmeyle açıkladı: Phishing kelimesiyle ‘balık avlama’yı bir tutan Budorin, balığın oltaya gelmesi için aptal olması gerekmediğini, bazen rutine dalmak ya da dalgınlık gibi küçük bir hata yapanların rahatlıkla hedef olabildiğini vurguladı. Ona göre bu saldırıların kaçınılmazlığı asıl risk kaynağı.
SponsoredBu düşünce yapısı Variola’nın güvenliğe yaklaşımıyla tam anlamıyla örtüşüyor.
‘Yalnızca mühendisler ya da yöneticiler dikkatli davransa yeterli olmuyor. Kurum içindeki her bir birey, maruz kaldığı riski net şekilde bilmeli. En alt kademedeki stajyer bile tabloyu tam olarak anlamalı.’ dedi.
Budorin bir adım daha ileri giderek genellikle hedefin genç çalışan değil, doğrudan CEO’lar olduğunu belirtti. Sektörde görünürlük kazanan üst düzey yetkililer, kurucular, yöneticiler sıkça birebir saldırıların hedefinde – çünkü yetki ve tanınırlık onları kolay hedef haline getiriyor.
Olayın ardından Phemex, tüm güvenlik önlemlerini artırdı. Fakat asıl değişim içeride yaşandı.
Sosyal Katman’lar ve Finansal Katman’lar Bir Arada Yürümüyor
‘Kripto para sektörü fazlasıyla sosyal bir dünya. NFT’ler, sosyal medya, Telegram – tüm bu platform’lar saldırganlar için açık birer hedef oluşturuyor.’
Federico Variola, hassas bilgilerin güvenlik göz ardı edilerek asla bu amaçla tasarlanmamış ortamlarda paylaşılmasını sert bir dille eleştiriyor.
‘Özellikle Telegram, güvenlik açısından en kötü yönetilen platform’lardan biri ama sektörün iletişim standardı da bu.’
Cüzdan takibi ve kimliklerin alenen ifşa edilmesi ile ilgili artan eğilimlerden de pek memnun olmadığını dile getiriyor.
Sponsored Sponsored‘Cüzdan’ların tek tek insanlara bağlanmasını sağlayan bu trendi hiç sevmiyorum. Bence bu çok anti-kripto bir yaklaşım. Ancak gerçek şu: Bu sektörde başarınız arttıkça siz daha büyük bir hedef oluyorsunuz ve korunmak için daha fazla kaynak ayırmanız gerekiyor.’
Merkeziyetsizlik Saldırıların Ekonomisini Değiştiriyor
İleriye baktığımızda, Variola merkeziyetsizleşme ve kendi kendine saklama adımlarının kripto para güvenliğinin dönüşümünde büyük bir rol oynadığını düşünüyor.
‘Merkeziyetsizlik gitgide standart halini alırken, güvenlik yükünü daha fazla zayıf noktaya dağıtıyoruz. Artık hacker’lar tek noktadan faydalanmak yerine kullanıcıları tek tek hedef almak zorunda kalacaklar: o tatlı zayıf nokta yerine.’
Risk ise yok olmuyor, sadece farklı ellere ve alanlara yayılıyor.
‘Merkeziyetsiz kripto para borsası (DEX)’ler ve merkeziyetsiz platform’lar kendilerine has zorluklar taşıyor. Kural kodda: zincir durmaz. Yeni risk’ler de olacak. Ama genel olarak sektör için bunun olumlu bir gelişme olduğunu düşünüyorum.’
Kripto para borsası için bu süreç, direnç değil uyum demek.
‘Merkezi platform’lar ortadan kalkmayacak ama bizim de evrilmemiz şart. Güvenlik modelinin, kullanıcı davranışlarıyla birlikte değişmesi gerekiyor.’
Beş Yıl Sonra Hangi Kripto Para Mücadeleye Devam Edecek?
Önümüzdeki döneme dair Federico Variola, meselenin kriptonun ‘çözüp geçeceği’ bir mesele olmadığının altını çiziyor.
‘En büyük sınavımız yapay zeka (AI) olacak’ dedi. ‘Daha ilerde ise kuantum bilgisayarlar yeni bir risk katmanı ekleyecek.’
Kendisine AI’ın savunmacıları saldırganlar kadar destekleyip desteklemediği sorulduğunda ise yanıtı netti: ‘Ne yazık ki bana göre bu teknoloji saldırganları daha çok güçlendiriyor, insanları daha güvende yapmıyor’ dedi.
Variola, bulunduğumuz noktayı sektörün olgunlaşma dönemi olarak görüyor. Kripto para ekosistemi güçlü teknik yetenekleri kendine çekiyor ve güvenlik artık şirketlerin günlük operasyonlarında ve iletişim tarzlarında merkezi bir yere sahip. Güvene dayalı bağımlılığın azaltılmaya çalışıldığı sistemlerde ise artık asıl mesele, güvenin hala nerelerde var olduğunu anlamak ve onu akıllıca yönetmek.
