Kriptoparalarınız Güvende mi?

Bitcoin, bir sahibi olmayan ve merkezi bir otorite tarafından yönetilmeyen bir kriptopara birimidir. Herhangi bir merkezi otoritenin kontrolünde olmadığı için, herhangi bir sorunla karşılaştığınızda, destek alabileceğiniz, sorununuza müdahale edebilecek bir otorite de yok. Devletlerin bastığı, kontrol ettiği para birimlerinin aksine Bitcoin ve diğer kriptoparaların neredeyse tamamında tüm sorumluluk kullanıcının kendisinde.

Yakınlarınızda size kriptopara transfer edebilecek birileri yoksa Bitcoin ve kriptoparalara sahip olmanın en kolay yolu kriptopara alım satım platformları aracılığıyla diğer kriptopara sahiplerinden satın almaktır. Kriptoparanızı satın aldıktan sonra, alım satım platformundaki hesabınızda saklamak size kolay gelebilir. Ancak merkezi olmayan bir para birimini, merkezi bir otoriteye emanet etmek herkesin içine sinmeyebilir. Bu durumda kriptoparanızı saklamak için bir kriptopara cüzdanına transfer etmeniz gerekiyor.

Kriptopara transferi demişken, ilk defa duyanları şaşırtan bir gerçeği de paylaşmak istiyorum. Kriptoparalar transfer edilmez. Aslında transfer edilen Bitcoin değil, Bitcoin’in sahipliğidir. Bitcoin ile ödeme yapmak istediğinizde, ilgili tutarın sahipliğini alıcı adrese devredersiniz. Bu sahiplik transferi, merkezi olmayan açık bir kayıt defteri olarak çalışan blokzincirinde tutulur. Bu kayıt defterini bir muhasebe defterine benzetebilirsiniz.

Üretilen her yeni Bitcoin, işlemi ilk doğrulayan madencinin hesabına alacak olarak kaydedilir ve Bitcoinlerin kontrolü o adrese ait özel anahtara verilir. Ardından, adres (cüzdan) sahibi kullanıcı, yönetim hakkına sahip olduğu Bitcoin ile başka adres(ler)e ödeme yapmak istediğinde, kendi yönetim hakkını başkasına devreder. Bu işlem, blokzincirinde göndericinin hesabında borç, alıcının hesabına ise alacak olarak kaydedilir. İşlem onaylandıktan sonra, kullanım hakkı transfer edilen Bitcoin’in yeni sahibi, adresine gelen tutarın yönetim hakkına sahip olur. Dolayısıyla Bitcoin değil, sahiplik hakkı transfer edilir. Benzer şekilde, evinizi sattığınızda, sahiplik hakkını alıcıya devredersiniz. Tapu dairesi sizin sahiplik hakkınızı devrettiğinizi onaylar ve alıcıyı evin yeni sahibi olarak kaydeder. Tapuda gerçekleşen kayıt transferi ile blokzincirinde kaydı tutulan sahiplik transferi birbirine benzemektedir. 

Bitcoin veya diğer kriptoparalar blokzincirinde güvenle saklandığı için kriptoparalarınızın her zaman güvende olduğunu varsayabilirsiniz. Ancak kriptoparalarınız blokzincirinde güvenle saklanmasına rağmen, size kontrol hakkı sunan özel anahtarların güvenliğinden tamamen siz sorumlusunuz. 

Peki tamamen dijital ortamda üretilen ve dağıtılan kriptoparaları saklamak için ev güvenilir yöntem nedir? Alınabilecek güvenlik önlemlerinden bahsetmeden önce kriptopara cüzdanlarından bahsetmek gerekiyor.

Kriptopara cüzdanları, masaüstü veya mobil yazılım cüzdanları, çevrimiçi cüzdanlar, donanım cüzdanları veya kağıt cüzdanlarda saklanabilir. Kağıt cüzdanlar, üzerinde kriptoparanın adresi ve QR kodu ile o adresin özel anahtarı ve bu özel anahtara ait QR kodunu barındıran cüzdanlardır. Bu cüzdanlarda bulunan adreslere kriptopara transfer edilebilir. Harcama yapılmak istendiğinde, üzerindeki özel anahtar, bir yazılım cüzdanına, çevrimiçi cüzdana aktarılarak kriptopara transferi yapılabilir. Kağıt cüzdanlar, kaybolma, çalınma, yanma, yıpranma gibi risklere açıktır. Bu nedenle yaygın olarak kullanılmazlar. Ancak, sadece bir adrese ödeme almak istiyorsanız, o adrese ait QR kodunu bir kağıda yazdırarak, kağıt cüzdanı ödeme almak amacıyla güvenle kullanabilirsiniz. Adresin içindeki bakiyeyi kullanmak istediğinizde, özel anahtarına ihtiyacınız olacağını aklınızdan çıkarmayın.

Çevrimiçi cüzdanlar, donanım cüzdanları, mobil cüzdanların tamamı, masaüstü cüzdanların ise büyük bölümü 3. parti servisler tarafından sunulan hizmetlerdir. Tek istisna, blokzincirinin tamamını senkronize eden masaüstü yazılım cüzdanlarıdır. Çevrimiçi cüzdanlar, kriptopara varlıklarınıza neredeyse internete bağlanabilen her cihazdan erişme imkanı sunarlar. Hatta kimi çevrimiçi cüzdanların, web tarayıcıdan erişilen internet sitelerinin haricinde masaüstü, tablet ve mobil yazılımları da sunulmaktadır. Kullanıcı adı ve parolanızla erişebildiğiniz bu servisler, özel anahtarınızı sürekli erişime açık sunucularda şifreli olarak saklamaktadır. Bu nedenle, çevrimiçi servislerin siber saldırganların hedefinde olduğunu söylemek yanlış olmayacaktır. Servis sağlayıcılar, çok yüksek güvenlik standartlarıyla çalışıyor olmalarına rağmen, kimi zaman teknik nedenlerle hizmet kesintileri yaşanabilmektedir.

Üçüncü partiler tarafından sunulan mobil, masaüstü ve donanım cüzdanları da benzer şekilde servis kesintileri ile karşı karşıyadır. Bu cüzdanların servis sağlayıcıları, blokzincir(ler)ini sizin adınızı senkronize eder ve  özel anahtarınızla işlem yapabilmeniz için size aracılık ederler. Bu hizmeti ücretsiz olarak sunan servis sağlayıcıları, cüzdan uygulamalarında kriptopara satışı veya takas hizmeti sunarak gelir elde etmeye çalışırlar. Özellikle mobil cüzdanların kullanımı her geçen gün artmaktadır. Özel anahtarınızın güvenliğini sağladığınız sürece bu servisleri güvenle kullanabilirsiniz. Ancak, oltalama saldırılarına hedef olmamak için uygulamaları veya güncellemeleri gerçekten yayıncısının internet sitesinden indirdiğinizden emin olmanız gerekir.

Donanım cüzdanları ise, sürekli internete bağlı olmayan, 4-8 karakterli parola ile korunan cihazlardır. Donanım cüzdanları, sadece özel anahtarınızı saklamak için özelleştirilmiş, üzerinde parola girişi ve işlem onayı için led ekran ve fiziksel butonlar bulunan şifre korumalı belleklerdir. Donanım cüzdanları da tıpkı mobil ve masaüstü cüzdanlar gibi servis sağlayıcısına bağımlıdır ve servis sağlayıcıda meydana gelebilecek kesintiler, işlem yapmanıza engel olabilir.

Blokzincirinin tamamını bilgisayarınıza indirebildiğiniz masaüstü cüzdanları, herhangi bir servis sağlayıcının aracılığına gerek kalmadan doğrudan blokzincirine bağlanarak işlem yapabilmenize imkan verir. Ancak özellikle 250 GB üzeri veri boyutunu aşan Bitcoin blokzincirini bilgisayara indirmek, senkronize etmek herkes için mümkün olmayabilir. Bu durumda mobil cüzdanlar gibi, üçüncü parti cüzdanları kullanmayı düşünebilirsiniz.

Cüzdan veya özel anahtar güvenliğini sağlamak, kriptopara varlıklarınızın güvende olduğundan emin olmanız için büyük önem taşımaktadır. Masaüstü cüzdanların, cüzdan dosyalarını mutlaka şifrelemeli ve bu dosyaları birden fazla yedekle saklamalısınız. Cüzdan dosyanızı şifreli USB parmak belleklerde veya parola korumalı disk alanlarında saklamayı düşünebilirsiniz. Ancak, bu dosyaları aynı bilgisayarda bir başka klasörde, aynı diskte veya e-posta kutusu gibi siber saldırı ihtimali olan ortamlarda saklamamalısınız.

Servis sağlayıcılar veya yazılım geliştiriciler tarafından sunulan mobil, masaüstü veya donanım cüzdanları, kurulum esnasında size 12-24 kelimelik anahtar kelime grupları verirler. Tohum (seed) olarak adlandırılan bu kelime grupları, özel anahtarınızı oluşturur ve herhangi bir şüpheye yer vermeyecek şekilde güvenle saklanmalıdır. Ajandanızda, e-posta kutunuzda, not uygulamanızda sakladığınız özel anahtarların, çalınma veya kaybolma riskiyle karşı karşıya olduğunu hatırlatmak isterim. Özel anahtalarınızı oluşturan kelime gruplarını şifreli parmak belleklerde, parola saklama uygulamalarında veya parola korumalı disk alanlarında saklayabilirsiniz. Ancak güvenliğinizi biraz daha artırmak için kendinize özgü yöntemler deneyebilirsiniz. Kelimelerin tamamını aynı yerde bulundurmamak için, farklı alanlara kaydetmek, kelimelerin yerlerini değiştirdiğiniz ve sadece sizin bildiğiniz bir algoritma kullanmak veya kelimelerin bazılarını ezberleyip, o kelimeleri eksik kaydetmek gibi yöntemler özel anahtarlarınızın güvenliğini daha da artıracaktır. Ancak, bu kelimelerin 2048 kelimelik bir kelime havuzundan seçildiğini ve kelimelerin sırasını değiştirmenizin veya 1-2 tanesini eksik yazmanın sizi tamamen güvende tutmayacağını da bilmeniz gerekiyor.

Özellikle bir ürün veya servise güvenmek, kelime gruplarını bir deftere yazıp, daha sonra doğruluğu teyit etmemek yapılan en büyük hataların başında geliyor. Yeni bir cüzdan oluşturduğunuzda, o cüzdana ait anahtar kelimelerin doğruluğunu kontrol etmenin çok basit bir yolu var. Cüzdanı kurduktan sonra bir adres oluşturun ve bu adresi not alın. Ardından cüzdanı sıfırlayın veya uygulamayı tamamen kaldırıp yeniden kurun. Kaydettiğiniz kelimeler ile cüzdanı geri yükledikten sonra tekrar bir adres oluşturun. Oluşturduğunuz adres, daha önce kaydettiğiniz adres ile aynı ise, anahtar kelimeleri doğru şekilde kaydetmişsiniz demektir. Cüzdanı kullanmaya başlayabilirsiniz.

Sizin kriptoparalarınız güvende mi? Daha doğrusu, kriptoparalarınızı kontrol etmenizi sağlayan özel anahtarlarınızı güvenle sakladığınızdan emin misiniz?

Bu yazı Fintechtime dergisi Sonbahar 2020 Kasım&Aralık sayısında yer almıştır. Fintechtime dergisini Turkcell Dergilik uygulamasından indirebilirsiniz.