Kripto Paralar Hacklenebilir mi? Blockchain, Cüzdanlar ve Saldırılar
Peki, kripto para birimleri hacklenebilir mi? Kısmen evet, kısmen hayır. Açıklayayım.
Blockchain defterinin kendisi, yani blockchain ağının onayladığı asıl zincir, 17 yıldır hiç hacklenmedi. Bir kez bile. Kripto para birimlerinin hacklenmesiyle ilgili okuduğunuz tüm büyük manşetler? Başka bir yerde oldu. Borsa. Köprü. Akıllı sözleşme. Birinin cüzdan uygulaması. Güvenli ve tehlikeli kısımlar ekranınızda yan yana duruyor ve çoğu insan para kaybedene kadar bunları birbirinden ayırt edemiyor.
2025, birçok insan için bu durumu kişisel bir mesele haline getirdi. Chainalysis'in blockchain teknolojisi risklerine ilişkin Aralık ayı güncellemesine göre, saldırganlar geçen yıl kripto para hizmetlerinden 3,4 milyar dolar çaldı. CertiK, 630 ayrı olayda 3,35 milyar dolar, TRM Labs ise 2,87 milyar dolar rakamını kaydetti. Üç firma, üç metodoloji, aynı sonuç: Kayıtlı en kötü yıl. Ve bunların neredeyse hiçbiri zincirlerin kendisini etkilemedi.
Hırsızlığın aslında nerede gerçekleştiğini, gerçek riskinizin nerede olduğunu ve bu konuda neler yapabileceğinizi size adım adım anlatayım.
Kripto para birimleri hacklenebilir mi? Önce doğrudan bir cevap.
Peki, kripto paralar herhangi bir anlamda hacklenebilir mi? Kripto paralar kesinlikle çalınabilir. Ancak, bu paraları tutan blockchain defteri neredeyse hiçbir zaman çalınamaz.
Kulağa kelime oyunu gibi geliyor ama değil. İnsanlar "Bitcoin hacklendi" dediğinde genellikle üç şeyden birini kastediyorlar: birinin coinleri bir borsadan çalındı, bir cüzdanın özel anahtarı ele geçirildi veya bir zincirin üzerinde çalışan akıllı bir sözleşme boşaltıldı. Bunların hiçbiri Bitcoin veya Ethereum'un kendisine yönelik bir saldırı değil. Her iki temel katmanın da konsensüs kuralları hiçbir zaman ihlal edilmedi ve her ikisi de on yıldan fazla bir süredir milyarlarca dolarlık canlı değerle çalışıyor ve bunları kırmak için yeterince zeki olan herkes için hazır durumda. "Hacklenemez blok zinciri" etiketi sadece kısmen doğru: zincirin kendisi güvenli ve dirençli, ancak etrafındaki yüzey hedeflerle dolu.
Bu ayrımla başlayın çünkü savunma hakkındaki düşüncelerinizi değiştiriyor. Eğer zincir zayıf halka olsaydı, hiçbir şey sizi kurtaramazdı. Zayıf halkalar zincirin üstüne eklenmiş olduğundan (saklama, anahtar yönetimi, kullanıcı davranışı, akıllı sözleşme kodu), bunların çoğunda söz sahibi oluyorsunuz.
Blockchain güvenliğini ve işlemlerin nasıl işlediğini anlamak
Nelerin bozulabileceğine bakmadan önce, sistemi asıl ayakta tutan şeyin ne olduğunu kısaca özetleyeyim. Blockchain güvenliğini anlamak, birbiriyle örtüşen üç mekanizmaya dayanır ve çoğu insan bunlardan birini bilir, diğer ikisini ise göz ardı eder.
Şifreleme ve kriptografi ile başlayalım. Her blockchain işlemi özel bir anahtarla imzalanır ve eşleşen genel anahtarla doğrulanır. Anahtarı kırmak istiyorsanız, 256 bitlik bir sayıyı kaba kuvvetle aramanız gerekir. Bu tür sayılar, "evrenin ısı ölümünden daha uzun" ile bildiğimiz herhangi bir klasik bilgisayarda tamamen imkansız arasında değişir. Bitcoin gibi zincirler, her işlem imzasını bu şekilde şifreler. Satoshi, 2008 yılında anahtarları şifrelemek için ECDSA'yı seçti ve o zamandan beri geçerliliğini koruyor.
Sonra da hashleme geliyor. Her kripto para birimi işlem bloğu, SHA-256 gibi bir algoritmadan geçiriliyor. Her yeni blok, kendisinden önceki bloğun hash'ini içeriyor. Geçmişte bir yerlerde gömülü tek bir işlemi değiştirirseniz, aşağı doğru giden tüm hash'ler bozulur. Blok zincirlerine bu yüzden "değiştirilemez" deniyor. Kimsenin onları düzenlemek istememesinden değil. Çünkü tüm zincir çığlık atmadan onları düzenleyemezsiniz.
Üçüncü unsur, insanların en çok yanlış anladığı şey, fikir birliğidir. Blockchain ağında binlerce bağımsız düğümü hayal edin; hepsi aynı kuralları uyguluyor, hepsi birbirini denetliyor. Yönetici hesabı yok. Durdurma düğmesi yok. Kimsenin baskın yapabileceği bir merkez ofis yok. Tarihi yeniden yazmak için, dürüst çoğunluğun hesaplama gücünden veya riskinden daha üstün olmanız gerekir. İnsanlar blockchain'lerin güveni merkezsizleştirdiğini söylerken bunu kastediyorlar. Merkezsizleştirilmiş bir blockchain ağında, rüşvet verilebilecek, mahkeme celbi çıkarılabilecek veya çevrimdışı DDoS saldırısı düzenlenebilecek tek bir taraf yoktur.
Bu üçünü bir araya getirdiğinizde oldukça dikkat çekici bir şey elde edersiniz: blok zinciri tarafından onaylanan işlemler temelde kalıcıdır ve kriptografik teknikler ve konsensus mekanizmaları birlikte, bir merkez bankasına olan ihtiyacı ortadan kaldırır, hem de banka olmadan. Güvenli olan kısım budur. Güvenli olmayan kısım ise her insan, her borsa, her cüzdan uygulaması, her akıllı sözleşmedir.
Bitcoin hiç hacklendi mi? Temel katman hala sağlam.
Kısa versiyon mu? Hayır.
Bitcoin'in 1. katmanına bugüne kadar hiç başarılı bir saldırı düzenlenmedi. 17 yıldır bir kez bile. Hatalar mı? Evet, düzeltildi. Karmaşık çatallanmalar mı? Bolca. Blok boyutuyla ilgili Twitter'da bitmek bilmeyen tartışmalar mı? Elbette. Ancak temel defter asla yeniden yazılmadı. Her yeni işlem, Ocak 2009'daki ilk bloktan beri Bitcoin blok zincirini koruyan aynı kuralları geçtikten sonra blok zincirine eklenir.
MIT'nin Dijital Para Birimi Girişimi, iş ispatı ağlarına yönelik bilinen her %51 saldırısının kaydını tutuyor. Bitcoin'in kaydı boş. Ethereum ana ağının kaydı da boş. 2016'daki ünlü DAO saldırısı mı? Bu, Ethereum üzerinde çalışan tek bir akıllı sözleşmedeki bir hataydı, zincirin kendisinde değil. Bu durumun sonuçları, Ethereum ve Ethereum Classic'in bugün ne yapacakları konusunda anlaşamayan iki ağ olarak var olmasının nedenidir.
Şimdi de ekonomiye geçelim, ki bu neredeyse matematikten daha ikna edici. Kripto haber siteleri 2024 yılında Bitcoin'e yönelik %51'lik bir saldırının maliyetini yaklaşık 6 milyar dolar olarak hesapladı. Donanım, elektrik, veri merkezi, her şey dahil. Peki sonra ne olacak? Saldırı başarılı olduğu anda Bitcoin'in fiyatı çökecek. Çalınan kripto paralarınızın değeri çok düşük olacak. ASIC çiftliğiniz bir ısıtıcıya dönüşecek. Saldırganlar bilerek yüksek fiyattan alıp düşük fiyattan satıyorlar. Şimdiye kadar tasarlanmış en pahalı para kaybetme yöntemlerinden biri.
Yani asıl olaylar asla aşağıda değil, her zaman bir üst katta gerçekleşir.
Kripto paraların çalındığı yerler
Kripto para birimlerini bir bina olarak düşünün. Blockchain temeldir. Bunun üzerinde akıllı sözleşmeler, köprüler, borsalar, saklama kuruluşları ve en üstte de cüzdanlarıyla kullanıcılar bulunur. Okuduğunuz neredeyse her siber saldırı üst katlardan birinde gerçekleşir. Bunların çoğu, sessizce fonlarınızın kontrolünü ele geçiren üçüncü taraf siteler, eklentiler ve araçlar aracılığıyla gerçekleşir.
Chainalysis, 2024 yılı verilerini derleyerek, çalınan her şeyin %43,8'inin yalnızca özel anahtar ihlallerinden kaynaklandığını tespit etti. Özel anahtar ihlalleri. Akıllı sözleşme hataları değil. Anahtarlar. Kişisel cüzdanlar (borsalar veya DeFi değil), çalınan değerin %7,3'ünden 2022'deki %44'üne yükseldi. Ardından 2025'te TRM Labs, kayıpların %76'sının altyapı saldırıları olarak adlandırdıkları saldırılardan kaynaklandığını söyledi. Güvenlik açığına uğramış imzalayıcılar. Bulut sağlayıcıları. Geliştirici dizüstü bilgisayarları. Destek personeline yönelik sosyal mühendislik saldırıları. Akıllı sözleşme açıklarından hala yararlanılıyor mu? Evet. Hackerlar hala yeni protokollerdeki güvenlik açıklarından yararlanıyor mu? Her zaman. Ancak bunlar artık ana olay değil.
Hackerlar genellikle paranın izini sürer ve hedefler değişir. DeFi, 2021'den 2023'e kadar hakimiyetini sürdürdü. Merkezi hizmetler ve kişisel cüzdanlar ise 2024 ve 2025'te öne çıktı. Bu model ekonomik, hatta sıkıcı bir şekilde öyle. Doğru şirketteki tek bir yetkili, herhangi bir bireyin yapabileceğinden çok daha fazla parayı hareket ettirebilir. Bu nedenle, günümüzde hackerların başlıca hedefleri ortalama kripto para sahibi değil. Başkalarının kripto para sahipliğinin anahtarlarını elinde tutan mühendisler, destek personeli ve geliştiricilerdir.
Cüzdan saldırıları: özel anahtarlar ve cüzdan adresi dolandırıcılığı
Kripto cüzdanı aslında kripto paraları tutmaz. Kripto paraların blok zincirinde nereye taşınabileceğini kontrol eden özel anahtarları tutar. Anahtarı kaybederseniz, kripto paraları da kaybedersiniz. Anahtarı sızdırırsanız, başkası kripto paralarınızı ele geçirir. Model budur.
Cüzdanlar iki ana gruba ayrılır. Sıcak cüzdanlar internete bağlı bir cihazda bulunur. Telefon uygulamaları, tarayıcı uzantıları, borsa bakiyeleri. Kullanışlıdırlar ancak savunmasızdırlar, çünkü cihazdaki herhangi bir kötü amaçlı yazılım veya ele geçirilmiş bir tarayıcı, bilgisayar korsanlarının cüzdanı boşaltmak için erişebileceği bir yoldur. Soğuk cüzdanlar, donanım cüzdanları ve hava boşluklu kurulumlar dahil olmak üzere, anahtarlarınızı çevrimdışı olarak saklar; soğuk cüzdanlarda özel anahtarlar interneti asla görmeyen bir çipte saklanır. Soğuk cüzdanlar çok daha zor bir hedeftir, bu nedenle çoğu ciddi yatırımcı bunları bu hafta işlem yapmayı planlamadıkları her şey için kullanır.
Cüzdan adresi tuzağı başlı başına ayrı bir kategori. "Adres zehirlenmesi", bir saldırganın düzenli olarak işlem yaptığınız adrese neredeyse tıpatıp benzeyen bir cüzdan adresinden küçük bir işlem göndermesidir. İlk dört karakter aynı, son dört karakter aynı, ortadaki karakter farklı. Daha sonra, kendi geçmişinizden kopyalama yaparken, yanlışlıkla zehirlenmiş adresi yapıştırırsınız. Carnegie Mellon araştırmacıları, halka açık blok zincirlerinde kaydedilen 270 milyon bu tür girişim tespit etti ve teyit edilen kayıpların yaklaşık 83,8 milyon dolar olduğunu belirledi. Aralık 2025'te, tek bir yatırımcı bu tür bir adres zehirlenmesi saldırısı nedeniyle 50 milyon dolarlık USDT kaybetti.
Buradaki rahatsız edici nokta şu: blok zinciri tam olarak tasarlandığı gibi davrandı. İşlem onaylandı. Herhangi bir güvenlik açığı, zafiyet veya hata yoktu. Kullanıcı sadece yanlış dizeyi yapıştırdı.
Borsa ihlalleri ve 2024-2025'in en büyük kripto para saldırıları
Kripto para sektörünün emanet varlıklarının büyük çoğunluğu borsalarda bulunur ve bu borsalar başlıca hedefler olmaya devam etmektedir. Son iki yıldaki en büyük kripto para saldırıları açık bir kalıbı takip ediyor: Saldırganlar koda değil, anahtarlara odaklanıyor.
| Olay | Tarih | Miktar | Saldırı vektörü |
|---|---|---|---|
| Bybit | 21 Şubat 2025 | 1,4-1,5 milyar dolar | Safe{Wallet} geliştirici uzlaşması, Lazarus Grubu |
| DMM Bitcoin | 31 Mayıs 2024 | 305 milyon dolar | Özel anahtar hırsızlığı, Kuzey Kore bağlantılı |
| PlayDapp | 9-12 Şubat 2024 | 290 milyon dolar | İki aşamalı darphane açığı |
| Sürüklenme Protokolü | 1 Nisan 2026 | 285 milyon dolar | Kuzey Kore bağlantılı, Solana DeFi |
| WazirX | 18 Temmuz 2024 | 234,9 milyon dolar | Çoklu imzalı cüzdan istismarı, Lazarus Group |
| Cetus (Sui) | 22 Mayıs 2025 | 223 milyon dolar | Akıllı sözleşmedeki güvenlik açığı (kısmen giderildi) |
| Dengeleyici V2 | 3 Kasım 2025 | 128 milyon dolar | Çoklu zincir havuzu istismarı |
| Nobitex (İran) | 18 Haziran 2025 | 80-90 milyon dolar | Siber aktivistin fonlarının yakıldığı bildirildi. |
| Parlak Başkent | 16 Ekim 2024 | 50 milyon dolar | Geliştiricilerin donanım cüzdanlarındaki kötü amaçlı yazılımlar |
| GMX V1 | 9 Temmuz 2025 | 42 milyon dolar | Yeniden Giriş (5 milyon dolarlık ödül karşılığında geri döndü) |
Bybit rakamına tekrar bakın. Tek bir ihlalden 1,4 milyar dolar. 2025'teki tüm perakende kimlik avı kampanyalarının toplamından daha fazla. FBI'ın IC3 kamu hizmeti duyurusuna göre, saldırganlar Bybit'in kullandığı çoklu imza altyapısı olan Safe{Wallet}'deki bir geliştirici makinesine girdiler. Kötü amaçlı kod yerleştirdiler. İmzalayanlar meşru görünen bir işlem gördüler, onaya tıkladılar ve 401.347 ETH kayboldu.
Şimdi işin sessiz kısmına gelelim. ABD'de düzenlemeye tabi en iyi mekanlar 2024 ve 2025'te garip bir şekilde kazandı. Sıfır olay değil, sadece gerçek bir fon hırsızlığı yaşanmadı.
Coinbase, Mayıs 2025'te siber saldırıya uğradı. Saldırganlar, TaskUs adlı bir tedarikçinin destek çalışanlarına rüşvet vererek 69.461 müşterinin verilerini ele geçirdi. 20 milyon dolar talep ettiler. Coinbase ise onlara "çekip gidin" diyerek halka arzını gerçekleştirdi. Sonuç olarak hiçbir müşteri kripto para kaybetmedi.
Kraken, Şubat 2025'te yaklaşık 2.000 hesabı (kullanıcılarının yaklaşık %0,02'si) etkileyen bir iç kaynaklı olayı açıkladı. Binance'in ise Mayıs 2025'te benzer bir sosyal mühendislik girişimini umursamadığı bildirildi. Bu vakaların hiçbiri müşteri varlıklarının çalınmasıyla sonuçlanmadı. Bu, anlamlı bir geçmiş performansı ve düzenli olarak kripto para satın alıyorsanız, düzenlenmiş ve iyi sigortalanmış platformları kullanmak için en iyi nedenlerden biridir.
Akıllı sözleşmeler, DeFi ve köprü korsanlığı taktikleri
Akıllı sözleşme koddan ibarettir. Hepsi bu. Blok zincirinde çalışan kod. Kodda bir hata varsa, biri onu boşaltır ve zincir her transferi memnuniyetle onaylar çünkü zincir açısından sözleşme kendisine söyleneni yapmıştır. Herhangi bir hile tespit edilmemiştir. Akıllı sözleşme saldırıları klasik hacker alanıdır. Yeniden giriş hataları. Bozuk matematik. Oracle manipülasyonu. Borç verme protokollerinin içine gömülmüş mantık hataları. Gözlerinizi kısarsanız teknik olarak güzel şeyler. Ancak, gördüğümüz gibi, artık kayıpların büyük çoğunluğunu oluşturmuyorlar.
Köprüler başlı başına bir karmaşa. İşte aşağı yukarı nasıl çalıştıkları: Ethereum'dan Arbitrum'a token taşımak istiyorsunuz. Köprü, tokenlarınızı Ethereum'da kilitliyor ve diğer tarafta "sarmalanmış" kopyalarını oluşturuyor. Bu da köprünün, bir avuç çoklu imza yetkilisi veya bir akıllı sözleşme mantığı tarafından korunan devasa bir gerçek token yığını üzerinde bir yerde durması gerektiği anlamına geliyor. Taraflardan biri bozulursa, köprü boş kalır. Chainlink araştırması, kümülatif köprü kayıplarını yaklaşık 2,8 milyar dolar olarak tahmin ediyor. Bu, Web3'te hacklenen her doların yaklaşık 40 sentine denk geliyor. Çok acı.
Birkaç köprü vakası, tüm kategoriye yön verdi. Ronin Köprüsü, Mart 2022: Saldırganların dokuz doğrulayıcı anahtarından beşini ele geçirmesi nedeniyle 625 milyon dolar. Poly Network, Ağustos 2021: Sözleşmeler arası çağrı hatası nedeniyle 612 milyon dolar ve ardından, belki de kripto dünyasının en tuhaf olay örgüsünde, hacker bunun büyük bir kısmını geri verdi. Wormhole, Şubat 2022: İmza doğrulama hatası nedeniyle 326 milyon dolar. Orbit Chain, 2 Ocak 2024: 7-of-10 çoklu imzanın ele geçirilmesinin ardından 81 milyon dolar. Tüm bunlardan sonra köprü güvenliği gözle görülür şekilde iyileşti. Ancak temel sorun bir adım bile ilerlemedi. Küçük imza grupları tarafından korunan devasa havuzlanmış teminat, zamanı ve motivasyonu olan herkes için hala cazip bir hedef olmaya devam ediyor.
Kuzey Kore, Lazarus ve organize kripto suçları
Bu olay raporlarında sürekli olarak bir düşman ortaya çıkıyor: Lazarus. Kuzey Kore devlet bağlantılı ekipler, çoğunlukla Lazarus'un kendisi, ancak APT38, BlueNoroff, TraderTraitor ve daha yeni Famous Chollima ekibi de dahil. Bunları, tamamen finanse edilmiş, sabırlı, küçük ölçekli ulusal bir kripto istismar ajansı olarak düşünün.
Rakamlar çok vahim. Chainalysis, 2024 yılında 47 olayda 1,34 milyar doların Kuzey Koreli saldırganlar tarafından çalındığını tespit etti. Bu, yılın toplam çalınan değerinin %61'ini oluşturuyordu. 2025'te ise bu rakam doğrudan 2,02 milyar dolara yükseldi; bu da bir önceki yıla göre %51'lik bir artış anlamına geliyor. Lazarus ile bağlantılı toplam hırsızlık miktarı 2017'den bu yana 6,75 milyar doları aştı. Tüm ülke. Tek bir tehdit grubu.
Peki gerçekte ne yapıyorlar? Aynı taktiği tekrar tekrar kullanıyorlar. Bir kripto mühendisi veya destek personeli buluyorlar. LinkedIn veya Telegram üzerinden gerçekçi görünen bir iş teklifi gönderiyorlar. Sessizce kötü amaçlı yazılım yükleyen bir "kodlama testi" veya "cüzdan uygulaması" gönderiyorlar. Kimlik bilgilerini topluyorlar. Bekliyorlar. Ardından haftalar veya aylar boyunca cüzdanları veya borsaları boşaltıyorlar. Fonlar çıktıktan sonra aklama başlıyor: karıştırıcılar, zincirler arası takaslar, yasadışı faaliyetin izini silen katmanlı borsalar.
Ekim 2024'teki Radiant Capital olayı, bunun tipik bir örneğidir. Eski bir yüklenici Telegram üzerinden bir PDF dosyası gönderir. Ancak bu bir PDF dosyası değildir. Elli milyon dolar gider. Birden fazla imzalayan kişi aynı anda tehlikeye girer, çünkü "belgeyi" kendi bilgisayarlarında incelemişlerdir.
Bunu kripto para birimlerine yönelik bir saldırı olarak adlandırmak, olan biteni gözden kaçırmak anlamına geliyor. Bu, kripto para alanında çalışan kişilere karşı yürütülen bir istihbarat operasyonudur. Antivirüs biraz yardımcı olur. Paranoya ise daha çok yardımcı olur.
%51 saldırıları ve teorik blok zinciri riskleri
%51'lik bir saldırı. Bu terimi duymuşsunuzdur. Peki, gerçekte ne anlama geliyor?
Bir taraf, bir ağın işlem gücünün yarısından fazlasını (iş ispatı tabanlı sistemlerde) veya stake edilmiş coinlerin yarısından fazlasını (hisse ispatı tabanlı sistemlerde) ele geçirir. Bu çoğunlukla, yakın zamanda yapılan işlemleri tersine çevirebilir veya yeni işlemleri sansürleyebilirler. Klasik bir konsensus saldırısı. Ve gerçek hayatta, bu saldırı yalnızca küçük zincirleri etkilemiştir.
Bitcoin Gold bunun en iyi örneği. İki kez zarar gördü. Mayıs 2018'de yaklaşık 18 milyon dolarlık çift harcama yaşandı. Ocak 2020'de ise 70.000 dolar daha zarar gördü. Ethereum Classic ise Ağustos 2020'de 5,6 milyon dolarlık çift harcamaya yakalandı. Peki neden bu zincirler? Düşük hash oranı. Birkaç on bin dolarla bir hafta sonu için yeterli madencilik gücü kiralayıp karlı bir şekilde ayrılabilirsiniz.
Bitcoin bambaşka bir gezegen. Hash oranı binlerce kat daha yüksek. Ethereum'un staking havuzunda on milyonlarca ETH kilitli durumda. Teorik olarak birileri %51 saldırısı yapabilir mi? Elbette. Finansal olarak mantıklı olur mu? Hayır. Çaldığınız coinler, çaldığınız varlığın fiyatını düşürür ve madencilik ekipmanınız veya stake'iniz aynı anda değersiz hale gelir.
Diğer teorik tehditler mi? Var. İş ispatı (proof-of-work) tabanlı bencil madencilik. Hisse ispatı (proof-of-stake) tabanlı uzun menzilli saldırılar. Bazı erken PoS tasarımlarında risk almama (nothing-at-stake) durumu. Bunların hiçbiri ilk 20 zincirden birine gerçek bir darbe vurmadı. Yani biri "Bitcoin hacklenemez" dediğinde, kastettiği şey budur. Konsensus katmanı evet, ama onun üzerindeki her şey hayır.
Kuantum hesaplama, on yıl sonra ortaya çıkacak olan belirsiz bir faktör. Vitalik Buterin yakın zamanda, kriptografiyi kırabilecek bir kuantum makinesinin 2030'dan önce ortaya çıkma olasılığını yaklaşık %20 olarak belirtti. Blockstream'den Adam Back ise bunun on yıllar sonra olacağını düşünüyor. Uzmanlar arasında, bu olasılığın 2029 ile 2035 yılları arasında bir yerde olduğu belirtiliyor.
Hazırlık yapan var mı? Evet. Solana, Aralık 2025'te test ağında ilk Katman-1 kuantum sonrası imza testini gerçekleştirdi. Ethereum Vakfı'nın geçiş yolları üzerinde çalışan özel bir Kuantum Sonrası ekibi var. Yani sektör uyumuyor. Ama iş de bitmiş değil. Ana ağa henüz kuantum dirençli hiçbir şey gönderilmedi.
Kimlik avı ve yaygın kripto para dolandırıcılıkları
İşte acı gerçek. Kayıpların çoğu karmaşık bir güvenlik açığıyla ilgili değil. Genellikle bir kişinin kötü bir bağlantıya tıklaması, hatalı bir işlem imzalaması veya birinin talimatı üzerine kasten yanlış adrese para göndermesiyle ilgili. FBI'ın 2024 IC3 raporu, 140.000'den fazla kripto para birimiyle ilgili şikayeti ve 9,3 milyar dolarlık kaybı kaydetti. Bu, 2023'e göre %66'lık bir artış anlamına geliyor. 60 yaş üstü Amerikalılar ise 33.000 ayrı şikayette 2,8 milyar dolar kaybetti.
Domuz kesimi tek başına 5,8 milyar dolarlık bir ciroya ulaştı. Bunlar uzun vadeli dolandırıcılık yöntemleri. Birisi size bir tanışma uygulamasında, WhatsApp'ta veya Telegram'da mesaj atıyor. Arkadaş canlısı görünüyorlar. Aslında romantik bir şeyle ilgilenmiyorlar. Sonra birkaç hafta sonra, "harika bir işlem platformunda" para kazandıklarından bahsediyorlar. Denemek ister misiniz? Biraz para yatırıyorsunuz. Gösterge paneli bir kazanç gösteriyor. Daha fazla para yatırıyorsunuz. Sonunda para çekmeye çalışıyorsunuz ve platform önce vergi ücreti istiyor. Sonra başka bir ücret. Sonra kişi ortadan kayboluyor.
Menünün geri kalanı: cüzdanınızı boşaltan kimlik avı (kötü amaçlı bir onayı imzalamanız için sizi kandıran sahte siteler), sahte airdroplar, Telegram yöneticisi taklitçiliği ve SMS 2FA kodlarınızı çalan SIM değiştirme saldırıları.
İyi haberlerden biri de şu: Cüzdanı boşaltan kimlik avı saldırılarından kaynaklanan kayıplar 2025'te %83 azalarak yaklaşık 83,85 milyon dolara düştü (2024'te bu rakam yaklaşık 494 milyon dolardı) (Scam Sniffer verileri). Neden? Cüzdan arayüzü gerçekten iyileşti. Çoğu cüzdan artık imzanın sınırsız token harcamasını onaylayacağı durumlarda uyarı veriyor. Yine de, mağdur sayısı hala çok büyük.
Dolandırıcıların taktikleri, tüketici eğitiminden çok daha hızlı değişiyor. Bu yüzden dolandırıcılık yöntemlerini ezberlemeyin. Desenleri öğrenin. Eğer bir yabancı kripto para ticareti hakkında bir şey söylerse, bunu sosyal mühendislik olarak değerlendirin. Bir cüzdan uyarısı size açıklayamadığınız bir şeyi onaylamanızı isterse, reddedin. Eğer bir Telegram yöneticisi size yardım teklif eden bir mesaj gönderirse, o yönetici değildir.
Kripto paranızı güvence altına almak: işe yarayan en iyi uygulamalar
Kripto paranızı güvence altına almak karmaşık değil; sadece alışkanlık gerektiriyor. İşte, önemsiz miktardan daha fazla kripto para tutan normal bir kullanıcı için saldırı yüzeyini koruyan, kısa ve öz bir güvenlik önlemleri ve en iyi uygulamalar seti. Bunlar, potansiyel tehditlerin ve risklerin çoğunun etrafından dolandığı güvenlik uygulamalarıdır. Her biri için güvenli bir yöntem izleyin ve saldırı yüzeyi hızla küçülür. Bunları izleyin ve kripto paranızı gerçek dünyadaki saldırıların büyük çoğunluğuna karşı koruyun.
| Katman | Pratik | Neden önemli? |
|---|---|---|
| Depolamak | Birkaç yüz doların üzerindeki işlemler için donanım cüzdanı kullanın; harcamalarınız için ise sıcak cüzdanlar kullanın. | Çevrimdışı anahtarlar, en yaygın hırsızlık yöntemini ortadan kaldırır. |
| Yedekleme | Başlangıç cümlesini kağıda veya metal bir yere yazın; asla fotoğrafını çekmeyin, ekran görüntüsü almayın, e-posta ile göndermeyin veya bulut depolama alanına kaydetmeyin. | Tohum dosyalarının bulut yedeklemeleri, kötü amaçlı yazılımlar tarafından düzenli olarak ele geçiriliyor. |
| Değişme | Geçmişi temiz ve iyi düzenlenmiş borsaları tercih edin; 2FA (iki faktörlü kimlik doğrulama) kurallarını uygulayan saygın platformları kullanın. | Saygın mekanlar yasal sorumluluklara ve daha iyi iç denetimlere sahiptir. |
| 2FA | SMS yerine kimlik doğrulama uygulaması veya donanım anahtarı kullanın. | SIM değiştirme saldırıları, telefon numarasına dayalı iki faktörlü kimlik doğrulamayı hedef alıyor. |
| Onaylar | Her imza istemini inceleyin; Revoke.cash veya benzeri bir araç kullanarak eski token izinlerini iptal edin. | Cüzdanı boşaltan çoğu yöntem, kullanıcıların sınırsız onay vermesine dayanır. |
| İşlemler | Alıcı adresinin tamamını doğrulayın, sadece ilk ve son dört karakterini değil. | Adres gizleme tuzaklarını etkisiz hale getirir. |
| Hijyen | Yüksek değerli kripto para işlemleri için özel bir tarayıcı veya bilgisayar kullanın. | Genel internet gezintisi sırasında kötü amaçlı yazılımlara maruz kalma riskini azaltır. |
| Farkındalık | Kripto parayla ilgili her özel mesajı, aksi ispatlanana kadar kimlik avı olarak değerlendirin. | Lazarus tarzı operatörler özellikle kripto para uzmanlarını hedef alıyor. |
Donanım cüzdanında kripto paralarınızı nasıl koruyabilirsiniz?
Donanım cüzdanlarıyla ilgili iki not: Ledger, Aralık 2020'de 270.000 müşterinin ev adresini sızdıran bir veri ihlali yaşadı; bu da donanım cüzdanı şirketlerinin bile veri hedefi olduğunu (ancak fon hedefi olmadığını) hatırlatıyor. Ocak 2026'da e-ticaret ortağı Global-e aracılığıyla yaşanan ayrı bir ihlalde ise yine iletişim bilgileri açığa çıktı, ancak tohum anahtarları veya fonlar değil. Anahtarlarınız için en güvenli yer hala cihazınızdır; posta adresiniz maalesef güvenli değildir.
Bazı yatırımcılar soğuk cüzdanların hacklenebilir olup olmadığını soruyor. Dürüst cevap şu ki, düzgün bir şekilde saklanan ve doğru şekilde yedeklenmiş bir kurtarma ifadesi içeren, iyi kullanılan bir soğuk cüzdan, uzun vadede kripto para tutmak isteyen bir birey için mevcut en güçlü savunmadır. Başarısızlık nedenleri çoğunlukla insan kaynaklıdır: fotoğraflanmış kurtarma ifadeleri, kullanıcıları kurtarma ifadesini yazmaya kandıran kimlik avı siteleri, sohbet üzerinden paylaşılan hassas bilgiler veya birinin önceden başlattığı "donanım cüzdanları"nın ikinci el pazarlardan satın alınması. Sadece üreticiden satın alın. Bu, herkesin benimsemesi gereken temel güçlü güvenlik duruşudur.
Siber saldırıya uğrarsanız: hırsızlık, kurtarma ve yapmamanız gerekenler
Cüzdanınızın hacklendiğinden mi şüpheleniyorsunuz? Hemen harekete geçin. İlk olarak: kanamayı durdurun. Temiz bir cihazda yepyeni bir cüzdan oluşturun, eski cüzdanınızda kalanları yeni cüzdana aktarın ve hırsızdan önce kalanları ele geçirin. İkinci olarak: Revoke.cash veya benzeri bir araç kullanarak verdiğiniz tüm token onaylarını iptal edin. Üçüncü olarak: belgeleyin. İşlem özetleri. Zaman damgaları. Şüpheli görünen her sohbetin, e-postanın veya URL'nin ekran görüntüleri. Tüm belge izi. Bunu her şeyden önce yapın.
Şimdi kimsenin duymak istemediği kısma gelelim: Kurtarma. Sıradan bir bireysel hırsızlık olayında, çalınan kripto paranın %10'undan azı geri döner. Blockchain'in şeffaflığı, araştırmacıların fonları karıştırıcılar ve köprüler aracılığıyla izlemesine olanak tanır ve bu harika. İzlemek, kurtarmak anlamına gelmez. Okuduğunuz büyük kazanımlar (Tether'ın 2023 ve 2025 yılları arasında 3,29 milyar dolarlık yasadışı USDT'yi dondurması, Circle'ın aynı dönemde dondurduğunun yaklaşık 30 katı; İngiltere'nin 2025'te 61.000 BTC'ye el koyması; Cetus'un 223 milyon dolarlık kaybının 162 milyon dolarını geri alması) tam olarak istisna oldukları için ünlüdür. Bunlar, istikrarlı bir kripto para ihraççısından, bir hükümetten veya yönetim kaldıraçlarını sert bir şekilde çekmeye istekli bir protokolden işbirliği gerektirmiştir.
Yapmamanız gerekenler. Lütfen size aniden mesaj atan veya Instagram reklamları yayınlayan ya da cilalı ünlü referanslarıyla dolu bir açılış sayfasına sahip olan bir "kripto kurtarma" firmasını işe almayın. Bu sektörün tamamı bir dolandırıcılık. Gerçek kurtarma yavaş, sıkıcıdır, Chainalysis veya TRM gibi firmaların yardımıyla kolluk kuvvetleri tarafından yürütülür ve neredeyse hiçbir zaman sonuç vaat etmez. Eğer biri size paranızı geri iade edeceğini garanti ediyorsa? Uzaklaşın. Eğer rapor hazırlamadan önce ön ödeme istiyorlarsa? Kaçın.
ABD'deyseniz FBI'ın IC3 birimine (veya yerel eşdeğerine), fonlarınız borsaya temas ettiyse borsaya ve stablecoin'ler söz konusuysa stablecoin ihraççısına şikayette bulunun. İhraççıların işlem dondurmaları artık gerçek bir kurtarma yolu haline geldi. Chainalysis'e göre, stablecoin'ler artık yasadışı kripto hacminin %84'ünü temsil ediyor. Bu rakam, Tether'ın işlem dondurma sayısının neden sürekli arttığını açıklıyor.
