Web3'te Güvenlik

Hero 11

Web3, dünya vatandaşlarının birbirleriyle etkileşime girme, işlem yapma ve eğlenme biçimlerini değiştirmesi için nadiren ortaya çıkabilecek bir fırsattır. Her yeni yolculukta olduğu gibi, bu harekete katılmanın riskleri elbette vardır.


Kandırılmaya müsait turistleri hedef alan kötü niyetli kişiler olduğu gibi, sizi de kandırmaya çalışacak insanlar olacaktır. Hırsızlık ve dolandırıcılık yeni değildir, çağlar boyunca var olmuştur; sadece sektörlere farklı yollarla sızarlar. Buna rağmen iç rahatlatıcı olan, Web3'te kontrolün sizde olması ve farkındalık geliştirerek bu yeni dünyada en iyi uygulamalarla nasıl güvenli bir şekilde gezineceğinizi öğrenebilmenizdir. Bu derste, Web3 serüvenine atılmadan önce içselleştirmeniz gereken önemli ilkelerden bazılarını tartışacağız.

Saldırı vektörleri ve bunlardan kaçınma 


Self-custody (emanet edilmeyen cüzdan) hakkındaki dersimizi hatırlıyor musunuz? Bu konuyu daha önce işlememizin bir nedeni var. Web3'te kullanıcıların istismar edilmelerinin en yaygın yollarından biri, gezinme sırasında, bir kullanıcı adınızın ve şifrenizin olduğu ve bunları korunmak üzere bir platforma emanet ettiğiniz web2'ye ait bir zihinsel modelden web3'e ait self custody (emanet edilmeyen cüzdan) modeline geçiştir. Self-custody (emanet edilmeyen cüzdan), kişiye belirli bir güç sağlasa da, risksiz değildir.

İnternet bankacılığı uygulamanızın şifresini kaybederseniz bankanız, hesabınızın ve paranızın emanetçisi olarak, kimliğinizi kanıtlamanız şartıyla şifrenizi sizin adınıza sıfırlayabilir. Ancak self-custody (emanet edilmeyen cüzdan) modelinde, kimliğinizi kanıtlamanın tek yöntemi sizin elinizde bulunur. Bu yöntem Gizli Kurtarma İfadenizdir (anahtar cümle). Başka hiç kimse hesabınızı sizin için sıfırlayamaz.

Secondary assets 10 - 01

Gizli Kurtarma İfadeniz (SRP) bir tek sizin elinizde olmalıdır.

Bu ifadeyi asla paylaşmayın. Bunu ne kadar vurgulasak azdır.

Web3 kullanıcılarını kandırarak onların gizli kurtarma ifadelerini ele geçirmek ya da açığa çıkarmak dolandırıcıların en kazançlı faaliyetlerinden biridir. Sizden Gizli Kurtarma İfadenizi isteyen birine karşı her zaman son derece dikkatli olun. MetaMask asla Gizli Kurtarma İfadenizi sormaz.

Diğer ana saldırı vektörünün de self-custody (emanet edilmeyen cüzdan) modelinin risklerinden yararlanmakla ilgili olması bir tesadüf değildir. Bu saldırı vektörü, MetaMask cüzdanınızı etkileşimde bulunduğunuz merkeziyetsiz uygulamalara (dapp'ler) izin vermek için nasıl kullandığınıza odaklanır.

bölümünde incelediğimiz gibiKripto Cüzdanı nedir? dersinde gördüğümüz gibi, cüzdanınız temelde kimliğinizi ve izinlerinizi yönetmek için kullandığınız bir araçtır. Cüzdanınızı üçüncü bir tarafa izinlerinizi devretmek için kullandığınızda, bu üçüncü taraflar talep ettikleri her ne ise onu yapmak için sizin değiştirilemez onayınızı almış olurlar. Bu nedenle izin verirken çok ama çok dikkatli olmanız gerekir.

MetaMask'ta imzalayacağınız en yaygın izinlerden biri, bir token onayıdır. Bu işlemler birçok biçimde karşımıza çıkar ancak genelde talep eden merkeziyetsiz uygulamaya belirli sayıda token'a ya da NFT'ye erişme izni verirler. Uzun on altılı sayılar ve kodlar insanlar tarafından okunamaz, bu da dolandırıcılara bir fırsat verir. Neye hizmet ettiğini anlamıyorsanız sizi kötü niyetli bir işlemi onaylamaya ikna etmek daha kolaydır. Diğer bir yaygın taktik ise, bir token'a sınırsız erişim izni istemektir. Böylece bir kez onay alındığında merkeziyetsiz uygulama hesabınızdan dilediği kadar çekim yapabilir, çünkü bunu yapmasına teknik olarak izin verilmiştir. Merkeziyetsiz uygulama kötü niyetliyse hesabınız boşaltılır.

Onaylar ve izinler karmaşık, gelişmekte olan bir konudur. Bununla beraber, aklınızdan hiç çıkarmamanız gereken bir şey varsa o da şudur: Şüpheli bir merkeziyetsiz uygulamanın teklif ettiği bir işlemi asla onaylamayın ve emin değilseniz o uygulamaya bir token'a sınırsız erişim izni vermeyin.

Token onayları hakkında daha fazla bilgi almak için Daha derine inin bölümündeki kaynaklara göz atın.

Micro System 10
Identity

Aldanmayın

Kötü niyetli faaliyetleri ele veren işaretleri öğrenirseniz Web3 güvenliğinizi önemli ölçüde artırabilirsiniz. Dolandırıcılar hem kasten, hem de istemeden, kendilerini birçok şekilde ele verirler. İşte bunlardan birkaçı:

  • Acil talepler: Zaman baskısını kullanarak son tarihler veya kapanış tarihleri öne sürmek suretiyle aciliyet duygusu yaratmak

  • Fırsatı Kaçırma Kaygısı Uyandırma: Gerçekçi olmayan getiriler, airdrop'lar (ücretsiz kripto para dağıtımları), ya da izin listesi (allowlisting) vaat edilmesi

  • Kimliğe Bürünme: İyi bilinen protokolleri, projeleri ve insanları taklit etme

  • Kusurlu İletişim: Kötü dilbilgisi, web tasarımı, ya da genel olarak profesyonel olmayan markalama

  • Beklenmeyen mesajlar: Para talepleri, aşırı ilgi ve katılmanızın ısrarla istenmesi.

Unutmayın: Bir şey gerçek olamayacak kadar iyi görünüyorsa muhtemelen gerçek değildir.

Donanım cüzdanları: Ek bir güvenlik katmanı

Self-custody (emanet edilmeyen cüzdan), kendi güvenliğinizi sağlamanız gerektiği anlamına gelir. Başka hiç kimse sizin adınıza güvenliğinizi sağlayamaz. Hesabınıza erişiminizi kaybederseniz hiç kimse hesabınızı yedekleyemez ya da token'larınız çalınırsa hiç kimse onları geri getiremez. Bunu sadece siz ve Gizli Kurtarma İfadenize erişimi olan biri yapabilir. Bu, büyük ancak Web3 dünyanın dört bir yanında kök salarken öğrenme ve deneyimleme gururuna eriştiğiniz bir sorumluluktur.

MetaMask, kullanıcı güvenliğine her şeyden daha fazla öncelik verir. Bunu cüzdanı kullanırken tehlikeli bir işlem yapmak üzere olduğunuzda size gönderilen uyarılardan; kodun güvenliğini sağlayan LavaMoat gibi araçların geliştirilmesinden ve bunun gibi eğitim çabalarından anlayabilirsiniz. Kötü niyetli kişilerle aranıza bir güvenlik katmanı daha ekleyen ek seçenekler de vardır.

Burada, bilgisayarınızın dışında olan ve hesaplarınızın özel anahtarlarını güvenle saklayan donanım cüzdanları devreye girer. Donanım cüzdanlarının, telefonunuzda ve dizüstü bilgisayarınızda yaptığınız; e-postalarınızı kontrol etme, uygulamalar indirme ve komik kedi videoları izlemek için internette gezinme gibi diğer çevrimiçi aktivitelerle bağlantısı yoktur.

Bu donanım cüzdanlarını Web3 faaliyetleri yürütürken esneklik sağlamak için MetaMask'e bağlayabilirsiniz. Merkeziyetsiz uygulamalara MetaMask ile göz atın ve işlemleri donanım cüzdanınızda imzalayın.

Donanım cüzdanlarını bir yazılım cüzdanı olan MetaMask'le birleştirmek, self-custody (emanet edilmeyen cüzdan) yolculuğunuzda daha fazla sorumluluk üstlenirken güvenliğinizi güçlendirmenizi sağlar.

Web3'te Güvenlik

ETH'nizi stake etmeyi deneyelim. Tercih ettiğiniz staking sağlayıcısını seçin

  • En yüksek ödüller

    mega-staked-eth

    Mega Staked ETH

    mgETH

    69.63% ödüller

  • En yüksek ödüller

    lido-staked-eth

    Lido Staked ETH

    stETH

    3% ödüller

  • En yüksek ödüller

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    3% ödüller

  • Secondary assets 10 - 01
    01

    Self-custody (emanet edilmeyen cüzdan) kişiye belirli bir güç sağlasa da, birtakım riskler içerir ve uygun güvenlik önlemleri almamı gerektirir

  • Secondary assets 10 - 02
    02

    Karşılaşabileceğiniz en yaygın iki Web3 saldırısı, Gizli Kurtarma İfademi ele geçirmeye ve sizden istenmeyen token onayları almaya çalışan kötü niyetli kişilerdir

  • 03 Takeaway 01
    03

    Donanım cüzdanı, Web3 güvenliğinizi güçlendirmeye doğru atılmış iyi bir ilk adımdır.

Bir sonraki adıma hazır mısınız?

MetaMask'ı keşfedin
Learn