Chainalysis’e göre, kripto platformlarına yapılan siber saldırılar sonucu çalınan toplam fon miktarı 31 Temmuz 2024 itibarıyla 1,58 milyar doları aştı. Bu, 2023 yılının aynı dönemine kıyasla %84,4’lük bir artışı temsil ediyor. 18 Temmuz 2024’te siber grup Lazarus, WazirX borsasından 34,9 milyon dolar çalarak son ayların en büyük hırsızlıklarından birini gerçekleştirdi. Sıcak (çevrimiçi) cüzdanlar, hedefli saldırılara ve özel anahtarın ele geçirilmesine karşı doğal olarak savunmasızdır; bu nedenle yatırımcılar varlıkları için giderek daha fazla soğuk depolamaya yöneliyor.
Soğuk Kripto Para Cüzdanı
Bu yazıda, soğuk cüzdanın ne olduğunu, nasıl çalıştığını ve bu seçeneğin fonlarınızı siber saldırılardan korumaya nasıl yardımcı olduğunu basit terimlerle açıklayacağız.
Soğuk Cüzdan Nedir?
Bu soruyu yanıtlamadan önce, kripto para birimlerinin ve cüzdanların genel olarak nasıl çalıştığına kısaca değinelim.
Kripto Cüzdan Kullanımının Temelleri
Kripto paralarda şifreleme, hem blok zincirini (işlem kayıtlarını içeren blok zinciri) korumak hem de kullanıcılardan gelen işlemleri göndermek için kullanılır. Ağın bir işlemi işleme almak üzere kabul etmesi için, işlemin dijital imzaya sahip olması gerekir: işlem verilerinize şifreleme uygulanarak oluşturulan bir karakter dizisi.
Şifreleme, gizli bilgiler olan özel anahtar kullanılarak gerçekleştirilir. Peki ağ katılımcıları imzanın gerçek olduğunu nasıl anlayacak? Modern şifreleme algoritmaları bunu hesaba katar ve özel anahtarın yanında her zaman bir de açık anahtar bulunur.
Açık anahtar serbestçe dağıtılabilir. Dijital imzanın gerçekten ilgili özel anahtar tarafından oluşturulduğunu doğrulamak için gereklidir. Açık anahtara sahip olan herkes imzanın orijinalliğini doğrulayabilir ve işlemi onaylayabilir.
Sistemi basitleştirmek için mühendisler, kripto hesap bilgileri olarak açık anahtarı kullanma fikrini ortaya attılar. Kripto cüzdan adresi olarak adlandırılan şey, açık anahtardır (veya onun temsil biçimidir).
Bir cüzdandaki her kripto para biriminin kendi adresi vardır. Bu adresi kullanarak, o adresten yapılan tüm işlemleri doğrulayabilirsiniz. Ücretsiz işlem doğrulama, kripto paraları merkeziyetsiz ve her ağ katılımcısı için şeffaf hale getirir. Ancak, kripto paraların zayıf noktası, her katılımcının özel şifreleme anahtarları olur. Özel bir anahtar üçüncü şahısların eline geçerse, kripto topluluğu artık işlemi kimin gerçekleştirdiğini ayırt edemez: gerçek sahibi mi yoksa kötü niyetli bir kişi mi? Bu nedenle, özel anahtarların korunması kripto paralarda kritik bir konudur.
Soğuk Kripto Cüzdanlarının Özellikleri
Soğuk cüzdan, özel anahtarları sürekli internet bağlantısı olmadan, tamamen çevrimdışı olarak saklama yöntemidir. Sıcak (çevrimiçi) cüzdanlar sürekli olarak ağa bağlıdır ve anahtarları sunucularda veya uygulamalarda saklarken, soğuk cüzdan anahtarları herhangi bir uzaktan saldırıdan fiziksel olarak izole eder. Soğuk kripto cüzdanı, hiçbir programın, virüsün veya bilgisayar korsanının fonlarınıza doğrudan erişim sağlayamayacağını garanti eder.
Peki, soğuk cüzdanın internet erişimi yoksa işlemler nasıl gerçekleştirilir? Tüm kripto para işlemleri şu şekilde işler: İnternete bağlı olmayan bir cihazda bir işlem oluşturup imzalarsınız ve ardından doğrulama ve blok zincirinde yayınlanma için yalnızca tamamlanmış dijital imzayı ağa (örneğin, bir USB bellek veya QR kodu aracılığıyla) iletirsiniz.
Soğuk Kripto Para Cüzdanlarını Kim İcat Etti?
Özel anahtarları çevrimdışı olarak saklama fikri, Bitcoin’in ortaya çıkmasından hemen sonra ortaya çıktı. 2011 yılında, Bitcointalk forumundaki katılımcılar ilk kez “kağıt cüzdan” yöntemini tanımladılar; bu yöntemde anahtarlar internet bağlantısı olmadan bir bilgisayarda oluşturuluyor ve bir kağıda yazdırılıyordu.
Bu uygulama, değerli eşyaların fiziksel bir kasada saklandığı geleneksel bankacılıktan soğuk depolama kavramını ödünç almıştır. Bu yayınların yazarları sürekli olarak şunu vurguladılar: Eğer özel anahtar hiçbir zaman çevrimiçi olarak görünmezse, saldırganlar ona ulaşamazlar.
Kağıt ortamlarla yapılan bu ilk deneyler, daha sonraki donanım çözümlerinin temelini atarak çevrimdışı depolamayı kripto varlıkları korumak için vazgeçilmez bir araç haline getirdi. Böylece soğuk cüzdan kavramı doğdu.
İlk Soğuk Cüzdanlar
İlk ticari donanım soğuk cüzdanı, Çek şirketi SatoshiLabs tarafından 29 Temmuz 2014’te Trezor Model One’ın piyasaya sürülmesiyle tanıtıldı. Cihaz, ATMega 32U4 mikrodenetleyici üzerine inşa edilmişti, bir OLED ekran ve işlemleri onaylamak için iki düğmeyle donatılmıştı; özel anahtarlar ise cihazın içinde güvenli bir şekilde izole edilerek ağa asla ulaşamayacak şekilde saklanıyordu. Kripto cüzdanının temel plastik versiyonu 1 BTC’ye, alüminyum versiyonu ise 3 BTC’ye satılıyordu; bu da o zamanki Bitcoin fiyatıyla Trezor’u piyasadaki en pahalı, ancak aynı zamanda en güvenli çözümlerden biri haline getiriyordu.
2016 yılında Fransız girişim şirketi Ledger, CC EAL5+ sertifikasyon seviyesine sahip Güvenli Eleman çipi ve kendi BOLOS işletim sistemini kullanan Nano S donanım kripto cüzdanını piyasaya sürdü. USB arayüzü ve Ledger Live uygulamasıyla entegrasyonu sayesinde Nano S soğuk cüzdanı, onlarca kripto para birimini destekleyerek bilgisayar veya akıllı telefonda varlık yönetimini basitleştirdi.
2022 yılına gelindiğinde, Ledger 3 milyondan fazla kripto cüzdanı satarak donanım çözümlerine yönelik kitlesel talebi doğruladı. Kısa süre sonra, üreticiler bu konsepti daha da geliştirmeye başladı: 2018’de SatoshiLabs, renkli dokunmatik ekranlı, daha güçlü işlemcili ve dahili microSD yuvasına sahip Trezor Model T’yi piyasaya sürdü. Yeni arayüz, PIN kodu ve kurtarma ifadesi girişini basitleştirirken, genişletilmiş işlevsellik internet bağlantısı olmadan daha fazla kripto para birimi işlemine olanak sağladı. Ve bugün, donanım kripto cüzdanlarının yeni üreticileri, güvenlik ile birleştirilmiş basitlik ve kullanım kolaylığıyla eski oyunculara meydan okumaya çalışarak pazara girdi.
Soğuk Cüzdanın Çalışma Prensibi “İç Yapısı”
Soğuk cüzdan, güvenli bir çip veya mikrodenetleyici etrafında oluşturulmuş olup, etrafı güvenlik bileşenleriyle çevrilidir: özel anahtarlar için şifrelenmiş kalıcı bellek, bir ekran ve işlemleri onaylamak için fiziksel düğmeler.
Soğuk cüzdan ise, cihaz ağ modülleri ve üçüncü taraf yazılımlardan arındırılmış basitleştirilmiş bir işletim sistemi çalıştırır. Dış dünyayla etkileşim yalnızca önceden tanımlanmış bir kanal aracılığıyla (örneğin, USB bağlantı noktaları veya QR kod tarayıcı) ve kullanıcının her kripto para işlemini fiziksel olarak onaylamasından sonra gerçekleşir.
Anahtar Hiyerarşisinin Nasıl Oluşturulduğu — Basit Terimlerle
Dikkatli okuyucular, her kripto para biriminin kendi özel anahtarına ihtiyaç duyduğunu fark edeceklerdir. Bu anahtarların her biri, farklı ağlar ve farklı kripto paralar için işlemleri imzalamak üzere cüzdanda saklanmalıdır. Bazen yatırımcılar portföylerinde düzinelerce hatta yüzlerce kripto para biriktirirler. Elbette, bu şekilde her anahtarla ayrı ayrı çalışmak zahmetlidir. Bu nedenle, ana anahtar kavramı icat edilmiştir. Ana anahtar, diğer tüm anahtarların kurtarılabileceği “anahtarların anahtarı”dır.
İşlem İmzalama Adım Adım
Sıcak cüzdanda bir kripto para birimi, miktar ve ağ seçerek işlem oluşturup doğrudan ağa gönderirken, soğuk cüzdanda bu süreç daha yavaştır.
Öncelikle, bilgisayarınızda veya akıllı telefonunuzda bulunan bir uygulamada, alıcının adresini, kripto para miktarını ve işlem ücretini belirterek bir işlem taslağı oluşturursunuz. Taslak imzalanmadığı için ağa gönderilemez ve özel anahtarın imzası olmadan ağ işlemi kabul etmez. Ardından bu taslak, bir USB kablosuyla veya bir QR kodunu tarayarak soğuk cüzdanınıza aktarılır.
Tüm transfer detayları cihaz ekranında görünür: nereye ve ne kadar gönderildiği, hangi ücretin alındığı. Doğrulama işleminden sonra, işlemi onaylamak için cüzdan düğmelerine basarsınız. Cihazın içindeki yerleşik program, özel anahtarınızı alır ve dijital bir imza oluşturur; bu, işlemin gerçekliğini doğrulayan benzersiz bir koddur. Tamamlanan imza, bir metin dizisi veya QR kodu olarak çıktı alınır ve ana cihazdaki uygulamaya geri gönderilir.
Son olarak, uygulama imzalanmış işlemi blok zincirine yayınlarken, özel anahtarınız güvenli bir şekilde korunmaya devam eder ve kripto cüzdanınızdan asla ayrılmaz.
Yedekleme ve Kurtarma
Daha önce de belirttiğimiz gibi, yedekleme için özel anahtarları doğrudan (bir ortama yazıp ortamı kasaya kilitleyerek) veya bir ortam aracılığıyla -örneğin kağıt kullanarak- kullanabilirsiniz. Ancak özel anahtarlar genellikle uzun bir karakter dizisinden oluştuğu için yazılması oldukça zahmetlidir. Bu nedenle mühendisler, tohum ifadeleri geliştirdiler.
Bir kurtarma ifadesi, özel anahtarı tam olarak kodlayan 12/24 kelimeden oluşan bir kümedir. Bu anlamda, bir kurtarma ifadesi ve bir ana anahtar eşdeğerdir. Bir kurtarma ifadesi değiştirilemez ve sızdırılması tüm cüzdanın tehlikeye girmesi anlamına gelir.
Bu nedenle, kurtarma ifadesi genellikle cüzdanın ilk kurulumu sırasında yalnızca bir kez gösterilir.
Bu ifade (kelime sırasını koruyarak!) örneğin bir kağıda yazılmalı ve güvenli bir yerde saklanmalıdır. Anahtar ifadenin kaybolma riskini ortadan kaldırmak için 2-3 kopya çıkarıp farklı yerlere koyabilirsiniz. Bu bir yandan ifadenin güvenliğini artırırken, diğer yandan da dışarıdan kişilerin yanlışlıkla ifşa etme riskini de artırır.
Eğer üzerine kurtarma kelime öbeği yazılmış bir kağıdı kasaya koymak isterseniz, bu mükemmel bir fikir. Ancak güvenli saklama için, metal gibi daha dayanıklı soğuk cüzdan yedeklemeleri kullanmakta fayda var. Kendiniz bir plaka yapabilir veya sadece kurtarma kelime öbeğini üzerine basmanız gereken özel plakalar satın alabilirsiniz.
Yazılı metnin okunabilirliğini ve saklama yerini düzenli olarak kontrol edin. Kağıt yırtılmaya başlarsa veya metin okunmaz hale gelirse, kelimeleri yeni bir kopyaya aktarın. Yetkin yedekleme ve kopyaların zamanında güncellenmesi, kalıcı para kaybı riskinden sizi kurtaracaktır.
Peki ya kurtarma ifadesi kaybolursa? Her şey cüzdana erişiminizin olup olmadığına bağlıdır. Cüzdana erişim korunuyorsa, yeni bir soğuk kripto cüzdanı oluşturmanız, yeni kurtarma ifadesini yazıp kaydetmeniz ve ardından eski cüzdandan yeni cüzdana fonları hemen aktarmanız yeterlidir. Ancak, cüzdana erişim yoksa ve kurtarma ifadesi kaybolursa, fonlarınıza erişimi geri yüklemek teknik olarak imkansızdır. Bunu kimse yapamaz: özel anahtarlarınıza kimse sahip değildir ve kaba kuvvet yöntemiyle çözmek makul bir sürede çözülebilecek bir işlem değildir.
Bir kurtarma ifadesi, yalnızca donanım cüzdanınızın kaybolması veya arızalanması durumunda değil, örneğin aynı cüzdana başka bir cihazdan erişmek istediğinizde de kullanılabilir. Dahası, bu cihazın üreticisi farklı bile olabilir. İşlemlerinizi bunların herhangi birinde imzalayabileceksiniz. Bununla birlikte, sıcak bir sürümde cüzdanı kurtarmak için kurtarma ifadesi kullanmak çok iyi bir fikir değildir, çünkü bu soğuk depolama fikrini tehlikeye atar. Bu durumda, donanım cüzdanının tüm koruması işlevini yitirir.
Soğuk Cüzdan Çeşitleri
En güvenli soğuk cüzdanlar donanım cüzdanlarıdır. Bunlar, içine güvenli bir çip yerleştirilmiş, ekranı ve düğmeleri olan kompakt cihazlardır.
Kağıt soğuk cüzdanlar, çevrimdışı olarak bir anahtar çifti oluşturmayı ve ardından kağıda yazdırmayı içerir. Bu yöntem elektronik gerektirmez, ancak kağıt yırtılır ve solar. Uzun süreli saklama için, üzerine tohum ifadesinin veya özel anahtarın kendisinin kazındığı su ve ateşe dayanıklı çelik kullanılır.
Çevrimdışı uygulamalar ve USB sürücüler, cüzdan yazılımını ağ erişimi olmayan bir bilgisayara takılan bir flash sürücüye veya microSD karta kaydeder. Özel anahtarlar ortamda şifrelenmiş bir kapta kalır ve işlemler yerel olarak imzalanır. Bu yöntem, donanım cihazlarına kıyasla maliyetleri düşürür ancak internet bağlantısı olmadan gerçekleştirilmesi oldukça zahmetli olan periyodik yazılım güncellemeleri gerektirir.
Çoklu imza desteği olan soğuk cüzdanlar da mevcuttur. Bu durumda, özel anahtar farklı cihazlarda saklanan birkaç parçaya bölünür. Bir işlem ancak katılımcıların çoğunluğunun onayıyla imzalanabilir; bu, depolama güvenilirliğini artırır ancak fon transferi prosedürünü karmaşıklaştırır.
Çözüm
Soğuk cüzdan, kripto paraları siber saldırılardan ve özel anahtar ihlallerinden korumanın en güvenilir yollarından biri olmaya devam ediyor. Borsalara ve sıcak cüzdanlara yönelik siber saldırılar giderek yaygınlaşırken ve çalınan fon miktarları yeni rekorlara ulaşırken, soğuk kripto cüzdanı, kripto paralarını korumak isteyenler için bir seçenek olmaktan çıkıp bir zorunluluk haline geliyor. Doğru bir soğuk cüzdan seçimi ve kurulumu, yedeklemelerin düzenli olarak güncellenmesi ve kurtarma ifadesinin dikkatli bir şekilde ele alınması, kripto piyasasındaki artan tehditler karşısında bile yatırımlarınızı korumanıza ve riskleri azaltmanıza yardımcı olacaktır.