Güvende Misiniz? Ledger Kripto Donanım Cüzdanı Neden Tehlikeli Görülüyor?

Yazar: Fatih Uçar

Kripto para yatırımcıları FTX çöküşünün ardından borsa risklerini daha iyi kavradı ve donanım cüzdanlara geçti. Özellikle portföyü belli rakamın üstünde olan yatırımcılar güvenlik için bunun en doğru seçenek olduğunu düşünüyor. Ancak bugünlerde en popüler donanım cüzdan şirketiyle ilgili çeşitli tartışmalar gündemi meşgul ediyor.

Donanım Cüzdan Nedir?

Tartışmaları ve riskin temeline inmeden önce en temelden “donanım cüzdan nedir?” kısmından başlayalım. Kripto para borsası üzerinden işlem yaptığınızda hesabınıza kripto göndermek için cüzdan adresinizi hesap ayrıntılarından temin edersiniz. Örneğin Tron ağından USDT göndermek istediğinizde borsanın size açtığı cüzdan adresini kullanmanız gerekir. Fakat bu cüzdanın tam kontrolü size ait değildi. Örneğin herhangi bir incelemede veya borsanın art niyetli davrandığı senaryoda kripto paralarınızı hareket ettiremezsiniz. Çünkü kripto cüzdanınızın tam kontrolü borsadadır.

Cüzdan adresinin yanında özel anahtar ve kurtarma kelimelerine sahip olabilmek için merkezi olmayan cüzdan uygulamalarını kullanmanız gerekir.

Örneğin Solana ağında işlem yapmak için Phantom (veya alternatif cüzdanlar) cüzdan uygulamasını telefon veya tarayıcınıza kurarsınız. Bu kurulum sırasında size 12/24 kelimelik “seed phrase” veya kurtarma cümlesi/kelimeleri verilir.

Bu kelimeler görseldeki gibidir. Eğer cüzdan uygulaması telefon veya bilgisayarınızdan silinirse, uygulamaya erişiminizi kaybederseniz bu kelimeleri kullanarak uygulamaya cüzdanınızı geri ekleyebilirsiniz.

Fakat telefon veya bilgisayarınız hacklenebilir. Saldırganlar cüzdan uygulamanızın verilerine erişerek kripto paralarınızı ele geçirebilir. Bu riski almak istemezseniz USB benzeri “donanım cüzdanlarından” edinirsiniz. Cüzdan uygulaması bu USB’nin içinde olur ve siz dilediğiniz zaman bilgisayarınıza bunu bağlayarak (veya daha gelişmiş cihazlarda buna bile gerek kalmadan) kripto paralarınızı görebilir, transfer edebilir ve alıp/satabilirsiniz.

Ledger donanım cüzdanı

Peki borsa, merkezi olmayan cüzdan ve donanım cüzdan arasındaki farkı en kısa nasıl özetleyebiliriz?

• Borsalarda cüzdanı: Kripto paralarınızın kontrolü cüzdan özel anahtarınız borsa tarafından tutulduğu için tamamen sizde değildi. Borsanın varlıklarınızı taşıma veya onu blokeleme riski vardır. FTX örneğini hatırlarsak müşteri fonlarının çalındığını bile gördük. Özetle bu cüzdan türünde borsaya “güvenmek” zorundasınız.
• Merkezi olmayan cüzdanlar: Burada kontrol tamamen sizdedir. Ancak hackerlar sizin cihazınıza sızarak veya çeşitli yöntemlerle (phishing, sosyal mühendislik vs) cüzdanınızın anahtarını (seed phrase) ele geçirebilir. Özetle bu cüzdan türünde de kendi siber güvenlik yeteneklerinize güvenmek zorundasınız.
• Donanım cüzdan: Hacklenme riski zayıftır. Fiziksel saldırı riski olsa da donanım cüzdanlar kolay saklanabilir. Kullanılmadığı sürede internete bağlı değildir. Ancak cüzdanınızın anahtarını (seed phrase) aklınızda tutarak, kağıda yazarak, telefonunuza yazarak veya herhangi bir şekilde saklamanız gerekir. Çünkü donanım cüzdanınızın başına bir iş geldiğinde cüzdanınıza erişmek için buna ihtiyacınız olur.

Kurtarma Kelimelerinin Güvenliği

Borsa cüzdanını kullanırken böyle bir sorun yoktu çünkü onu “güvendiğiniz” borsa saklıyordu. Ancak merkezi olmayan veya donanım cüzdan (ki ikisi de merkezi olmayan cüzdan sınıfındadır) kullandığınızda kurtarma kelimelerinizi (seed phrase) sizin muhafaza etmeniz gerekir. Çeşitli yöntemler kullanabilirsiniz.

• Kağıda yazarsınız: Bu kağıt sizin kripto paralarla ilgilendiğinizi bilen birinin bir yakınınızın eline geçebilir. Evde saklıyorsanız yangın, afet gibi durumlarda tahrip olabilir. Zamanla deforme olabilir. Sakladığınız yeri unutabilirsiniz. Veya yüzlerce riski vardır.
• Ezberleyebilirsiniz: Fakat unutabilirsiniz, hafızanızı etkileyen rahatsızlıklar geçirebilirsiniz. Bu da tamamen risksiz değil.
• Telefonda saklayabilirsiniz: Fakat bunu yapmakla direkt olarak cüzdanı telefonunuza kurmak arasında bir fark yok. Cihazınız hacklendiğinde bu kelimelerle saldırganlar kripto para varlıklarınızı hareket ettirebilir. En spesifik senaryolardan birinde sadece sizin olduğunuz bir WhatsApp grubu açıp buraya kurtarma kelimelerinizi yazıp sakladığınızı var sayalım. WhatsApp yedeklerinizin silinmesi, birinin eline geçmesi durumunda yine kripto paralarınızı kaybedebilirsiniz. Aynı şekilde bilgisayarınızda sakladığınızda da benzer bir durum (hack, cihaz çalınması vs) söz konusudur.
• Sunucuda saklayabilirsiniz: Saklama konusunu bir adım daha ileri götürelim. Bu kelimeleri kiraladığınız ve 10 yıllık ödemesini yaptığınız bir uzak sunucuda saklayabilirsiniz. Hatta şifreleyip sakladığınızı düşünelim. Fakat yine de risk sıfır değil. Veri merkezindeki çalışan veya veri merkezini hackleyen bir saldırgan bu kelimelerinize yine ulaşabilir. Şifrelenmiş verinizi decrypt edebilir. Peki kelimeleri 2-3 farklı şirketteki sunucularda sakladığınızı düşünürsek? İşte bu birazdan açıklayacağımız Ledger tartışmalarıyla ilgili önemli bir detay var bunu aklınızda tutun. Bu senaryoda da veri merkezlerinden birinde yangı çıkabilir, sunucunuz sıfırlanabilir ve daha binlerce ihtimal.

Yani cüzdan uygulaması veya donanım cüzdan kullanırken kurtarma kelimelerinizi (seed phrase) saklamak kesinlikle ciddi bir sorun.

Ledger Recover Tartışmaları

Ledger cüzdan sahipleri de dahil olmak üzere birçok kripto topluluğu üyesi, Ledger’ın en son özelliğinin yayınlanmasının ardından büyük bir tartışma başlattı. Daha önce duyurulan isteğe bağlı Ledger Recover hizmetinin yayına alınması biraz önce bahsettiğimiz kurtarma kelimelerini saklama hizmeti sunuyor.

Ledger Recover, kullanıcıların özel anahtarları için ek bir koruma katmanı kullanmalarına olanak tanıyan bir abonelik hizmetidir. Bu hizmet, kullanıcının kurtarma kelimelerini üç şifreli parçaya bölündüğü bir teknik kullanır. Her parça farklı bir merkezde saklanır ve tek başına hiçbir işe yaramaz. Bu parçalar birleştirilip şifreleri çözüldükten sonra, orijinal kurtarma kelimelerini yeniden yapılandırmak için kullanılabilirler.

Bu hizmetin bedeli 9,99 dolar ve isteğe bağlı. Ancak bu özellik aynı zamanda birkaç potansiyel güvenlik zafiyetiyle birlikte geliyor.

• Ledger dilediği zaman donanım cüzdandaki kurtarma kelimelerine erişebiliyor.
• Ledger şirketinin iyi niyetli olduğunu varsayarsak gelecekte yetenekli siber saldırganlar şirketin bu gücünü kullanarak müşterilerin kurtarma kelimelerini ele geçirebilir.

Dünya üzerinde hacklenmesi mümkün olmayan hiçbir sistem bulunmuyor. Birgün Ledger hacklenir ve Ledger Recover sayesinde tüm kullanıcıların kurtarma kelimeleri ele geçirilirse? Bu ihtimal var ve kripto para yatırımcıları böyle bir riskle yaşamak istemedikleri için şirketten geri adım atmasını istiyor.

Facebook, Microsoft ve aklınıza gelebilecek neredeyse tüm büyük şirkette iyi niyetli hackerlarla çalışırlar. Onlara buldukları sistem açıkları karşılığında ödül verirler. Her yıl milyonlarca doları bu iş için harcalar bununla birlikte şirket bünyesinde daimi olarak çalışan siber güvenlik birimleri de vardır. Eğer dev şirketler milyonlarca doları sistem zafiyetlerini keşfeden insanlara ödüyorsa her yıl aynı oranda potansiyel hacklerden kurtuluyor demektir. Ledger ve Microsoft’u karşılaştırdığımızda hangisinin hack riskinin daha az olduğunu söyleyebiliriz? Ufak bir detay iki şirkette daha önce hacklendi ve veri sızıntısı yaşadı. Ledger 2020 yılında hacklendiğinde 270.000 müşteri verisi saldırganların eline geçmişti.

Eğer bir yerde kilitli bir kapı varsa bu kırılabilir, açılabilir. Ledger kullanıcıları kurtarma kelimelerinin çalınması riskini sıfırlamak için (en azından Ledger sistemlerinin hacklenmesi kaynaklı) Ledger Recover ile potansiyel saldırılara açılan kapının kapatılmasını istiyor.

Kripto Öncüleri Tepki Gösteriyor

Kripto para yatırımcılarının yakından tanıdığı isimler Ledger’ın açtığı bu kapıyı kapatmasını istiyor. Risk azımsanacak gibi değil ve kurtarma kelimelerinin internet üzerinden sunuculara gönderilmesi, saklanması, bu hizmeti almayanların potansiyel bir saldırıda aynı riskleri üstlenmesi onları çılgına çevirdi.

Kurtarma kelimelerinin güvenliği bölümündeki son maddeyi hatırlayın. Kelimelerinizi şifreleyip farklı sunucularda tutabileceğinizden bahsetmiştik. Ledger Recover hizmetinin yaptığı şey bir bakıma budur. Dev sunucu şirketlerinin veri merkezlerinde yangın çıktığında eğer yedekler de yandıysa verilerinizi kaybedersiniz. Ledger bu riski nasıl alabiliyor? Siz bizzat kurtarma kelimelerinizi 3 farklı sunucuda saklarken fiziksel saldırı, yangın gibi riskleri göz ardı edebilir misiniz?

Fransa’daki ünlü veri merkezi OVH yandı

Yukarıda detaylarını anlattığımız hack riski dahil Ledger tarafından başlatılan bu hizmet binlerce tehlikeyi beraberinde getiriyor. Birçok banka, kritik kurum onlarca yıllık yazılımlar kullanır ve bunun tek sebebi her yeniliğin yeni zafiyetler getiriyor olmasıdır.

Polygon Labs ekibinden Mudit Gupta şunları söyledi;

“Bu korkunç bir fikir, bu özelliği etkinleştirmeyin. Buradaki sorun, şifrelenmiş anahtar parçalarının 3 şirkete gönderilmesi ve anahtarlarınızı yeniden yapılandırabilmeleridir”.

Binance CZ şunları söyledi;

“Yani artık kurtarma kelimeleri cihazın dışına çıkacak. Bu kulağa çok tehlikeli geliyor.”

Chris Dunn, 2020’de kullanıcıların bilgilerini ifşa eden Ledger veri sızıntısına atıfta bulunarak şunları söyledi;

“Önce müşterilerinin posta adreslerini, telefon numaralarını ve e-posta adreslerini ifşa ettiler. Şimdi de kurtarma kelimelerine (seed phrases) bir arka kapı koydular.”

Kripto yatırımcısı DCinvesto da sızıntıya atıfta bulunup şunları söyledi;

“Birkaç yıl önce Ledger’ın bir veri ihlali yoluyla tüm müşterilerinin adını ve ev adreslerini sızdırdığını hatırlatmak isterim. Sunucularında olmasını isteyeceğiniz en son şey özel anahtarınızdır.”

Bitcoin yatırımcısı ve girişimcisi Alistair Milne bu konuda şunları söyledi;

“Elbette Ledger’ın yeni ‘Recover’ hizmetini kullanabilir ve onlara varlıklarınızı kontrol eden özel anahtarlarınızın yanı sıra kimliğinizin ve diğer kişisel bilgilerinizin bir kopyasını verebilirsiniz… Ama o zaman neden ilk etapta bir donanım cüzdanı ile uğraşalım ki?”