Web3'te Güvenlik
Web3, dünya vatandaşlarının birbirleriyle etkileşime girme, işlem yapma ve eğlenme biçimlerini değiştirmesi için nadiren ortaya çıkabilecek bir fırsattır. Her yeni yolculukta olduğu gibi, bu harekete katılmanın riskleri elbette vardır.
Kandırılmaya müsait turistleri hedef alan kötü niyetli kişiler olduğu gibi, sizi de kandırmaya çalışacak insanlar olacaktır. Hırsızlık ve dolandırıcılık yeni değildir, çağlar boyunca var olmuştur; sadece sektörlere farklı yollarla sızarlar. Buna rağmen iç rahatlatıcı olan, Web3'te kontrolün sizde olması ve farkındalık geliştirerek bu yeni dünyada en iyi uygulamalarla nasıl güvenli bir şekilde gezineceğinizi öğrenebilmenizdir. Bu derste, Web3 serüvenine atılmadan önce içselleştirmeniz gereken önemli ilkelerden bazılarını tartışacağız.
Saldırı vektörleri ve bunlardan kaçınma
Self-custody (emanet edilmeyen cüzdan) hakkındaki dersimizi hatırlıyor musunuz? Bu konuyu daha önce işlememizin bir nedeni var. Web3'te kullanıcıların istismar edilmelerinin en yaygın yollarından biri, gezinme sırasında, bir kullanıcı adınızın ve şifrenizin olduğu ve bunları korunmak üzere bir platforma emanet ettiğiniz web2'ye ait bir zihinsel modelden web3'e ait self custody (emanet edilmeyen cüzdan) modeline geçiştir. Self-custody (emanet edilmeyen cüzdan), kişiye belirli bir güç sağlasa da, risksiz değildir.
İnternet bankacılığı uygulamanızın şifresini kaybederseniz bankanız, hesabınızın ve paranızın emanetçisi olarak, kimliğinizi kanıtlamanız şartıyla şifrenizi sizin adınıza sıfırlayabilir. Ancak self-custody (emanet edilmeyen cüzdan) modelinde, kimliğinizi kanıtlamanın tek yöntemi sizin elinizde bulunur. Bu yöntem Gizli Kurtarma İfadenizdir (anahtar cümle). Başka hiç kimse hesabınızı sizin için sıfırlayamaz.
Gizli Kurtarma İfadeniz (SRP) bir tek sizin elinizde olmalıdır.
Bu ifadeyi asla paylaşmayın. Bunu ne kadar vurgulasak azdır.
Web3 kullanıcılarını kandırarak onların gizli kurtarma ifadelerini ele geçirmek ya da açığa çıkarmak dolandırıcıların en kazançlı faaliyetlerinden biridir. Sizden Gizli Kurtarma İfadenizi isteyen birine karşı her zaman son derece dikkatli olun. MetaMask asla Gizli Kurtarma İfadenizi sormaz.
Diğer ana saldırı vektörünün de self-custody (emanet edilmeyen cüzdan) modelinin risklerinden yararlanmakla ilgili olması bir tesadüf değildir. Bu saldırı vektörü, MetaMask cüzdanınızı etkileşimde bulunduğunuz merkeziyetsiz uygulamalara (dapp'ler) izin vermek için nasıl kullandığınıza odaklanır.
bölümünde incelediğimiz gibiKripto Cüzdanı nedir? dersinde gördüğümüz gibi, cüzdanınız temelde kimliğinizi ve izinlerinizi yönetmek için kullandığınız bir araçtır. Cüzdanınızı üçüncü bir tarafa izinlerinizi devretmek için kullandığınızda, bu üçüncü taraflar talep ettikleri her ne ise onu yapmak için sizin değiştirilemez onayınızı almış olurlar. Bu nedenle izin verirken çok ama çok dikkatli olmanız gerekir.
MetaMask'ta imzalayacağınız en yaygın izinlerden biri, bir token onayıdır. Bu işlemler birçok biçimde karşımıza çıkar ancak genelde talep eden merkeziyetsiz uygulamaya belirli sayıda token'a ya da NFT'ye erişme izni verirler. Uzun on altılı sayılar ve kodlar insanlar tarafından okunamaz, bu da dolandırıcılara bir fırsat verir. Neye hizmet ettiğini anlamıyorsanız sizi kötü niyetli bir işlemi onaylamaya ikna etmek daha kolaydır. Diğer bir yaygın taktik ise, bir token'a sınırsız erişim izni istemektir. Böylece bir kez onay alındığında merkeziyetsiz uygulama hesabınızdan dilediği kadar çekim yapabilir, çünkü bunu yapmasına teknik olarak izin verilmiştir. Merkeziyetsiz uygulama kötü niyetliyse hesabınız boşaltılır.
Onaylar ve izinler karmaşık, gelişmekte olan bir konudur. Bununla beraber, aklınızdan hiç çıkarmamanız gereken bir şey varsa o da şudur: Şüpheli bir merkeziyetsiz uygulamanın teklif ettiği bir işlemi asla onaylamayın ve emin değilseniz o uygulamaya bir token'a sınırsız erişim izni vermeyin.
Token onayları hakkında daha fazla bilgi almak için Daha derine inin bölümündeki kaynaklara göz atın.
Aldanmayın
Kötü niyetli faaliyetleri ele veren işaretleri öğrenirseniz Web3 güvenliğinizi önemli ölçüde artırabilirsiniz. Dolandırıcılar hem kasten, hem de istemeden, kendilerini birçok şekilde ele verirler. İşte bunlardan birkaçı:
Acil talepler: Zaman baskısını kullanarak son tarihler veya kapanış tarihleri öne sürmek suretiyle aciliyet duygusu yaratmak
Fırsatı Kaçırma Kaygısı Uyandırma: Gerçekçi olmayan getiriler, airdrop'lar (ücretsiz kripto para dağıtımları), ya da izin listesi (allowlisting) vaat edilmesi
Kimliğe Bürünme: İyi bilinen protokolleri, projeleri ve insanları taklit etme
Kusurlu İletişim: Kötü dilbilgisi, web tasarımı, ya da genel olarak profesyonel olmayan markalama
Beklenmeyen mesajlar: Para talepleri, aşırı ilgi ve katılmanızın ısrarla istenmesi.
Unutmayın: Bir şey gerçek olamayacak kadar iyi görünüyorsa muhtemelen gerçek değildir.
Donanım cüzdanları: Ek bir güvenlik katmanı
Self-custody (emanet edilmeyen cüzdan), kendi güvenliğinizi sağlamanız gerektiği anlamına gelir. Başka hiç kimse sizin adınıza güvenliğinizi sağlayamaz. Hesabınıza erişiminizi kaybederseniz hiç kimse hesabınızı yedekleyemez ya da token'larınız çalınırsa hiç kimse onları geri getiremez. Bunu sadece siz ve Gizli Kurtarma İfadenize erişimi olan biri yapabilir. Bu, büyük ancak Web3 dünyanın dört bir yanında kök salarken öğrenme ve deneyimleme gururuna eriştiğiniz bir sorumluluktur.
MetaMask, kullanıcı güvenliğine her şeyden daha fazla öncelik verir. Bunu cüzdanı kullanırken tehlikeli bir işlem yapmak üzere olduğunuzda size gönderilen uyarılardan; kodun güvenliğini sağlayan LavaMoat gibi araçların geliştirilmesinden ve bunun gibi eğitim çabalarından anlayabilirsiniz. Kötü niyetli kişilerle aranıza bir güvenlik katmanı daha ekleyen ek seçenekler de vardır.
Burada, bilgisayarınızın dışında olan ve hesaplarınızın özel anahtarlarını güvenle saklayan donanım cüzdanları devreye girer. Donanım cüzdanlarının, telefonunuzda ve dizüstü bilgisayarınızda yaptığınız; e-postalarınızı kontrol etme, uygulamalar indirme ve komik kedi videoları izlemek için internette gezinme gibi diğer çevrimiçi aktivitelerle bağlantısı yoktur.
Bu donanım cüzdanlarını Web3 faaliyetleri yürütürken esneklik sağlamak için MetaMask'e bağlayabilirsiniz. Merkeziyetsiz uygulamalara MetaMask ile göz atın ve işlemleri donanım cüzdanınızda imzalayın.
Donanım cüzdanlarını bir yazılım cüzdanı olan MetaMask'le birleştirmek, self-custody (emanet edilmeyen cüzdan) yolculuğunuzda daha fazla sorumluluk üstlenirken güvenliğinizi güçlendirmenizi sağlar.
Web3'te Güvenlik
2:00
Bu sınırlı süreli teklifi kabul etmeniz için kalan süre
ETH'nizi stake etmeyi deneyelim. Tercih ettiğiniz staking sağlayıcısını seçin
En yüksek ödüller
Mega Staked ETH
mgETH
69.63% ödüller
En yüksek ödüller
Lido Staked ETH
stETH
3% ödüller
En yüksek ödüller
Rocket Pool Staked ETH
rETH
3% ödüller
- 01
Self-custody (emanet edilmeyen cüzdan) kişiye belirli bir güç sağlasa da, birtakım riskler içerir ve uygun güvenlik önlemleri almamı gerektirir
- 02
Karşılaşabileceğiniz en yaygın iki Web3 saldırısı, Gizli Kurtarma İfademi ele geçirmeye ve sizden istenmeyen token onayları almaya çalışan kötü niyetli kişilerdir
- 03
Donanım cüzdanı, Web3 güvenliğinizi güçlendirmeye doğru atılmış iyi bir ilk adımdır.
Bir sonraki adıma hazır mısınız?
MetaMask'ı keşfedin