Öne çıkanlar:
-
2025’in ilk yarısında 2,4 milyar dolardan fazla para çalındı; bu rakam şimdiden 2024 toplamını aştı.
-
Kimlik avı, kötü amaçlı izinler ve sahte “destek” gibi günlük tuzaklar, karmaşık saldırılardan çok daha fazla hasara neden olur.
-
Güçlü 2FA, dikkatli imzalama, sıcak/soğuk cüzdan ayrımı ve temiz cihaz kullanımı riski önemli ölçüde azaltır.
Silme araçlarını, destek bağlantılarını ve raporlama portallarını içeren bir kurtarma planı, hataları bir felaketten ziyade aksaklığa dönüştürebilir.
Kripto para hırsızlıkları artmaya devam ediyor. Yalnızca 2025’in ilk yarısında, güvenlik şirketleri 300’den fazla olayda toplamda 2,4 milyar dolardan fazla paranın çalındığını bildirdi; bu rakam şimdiden 2024’ün hırsızlık toplamını aştı.
Kuzey Koreli gruplara atfedilen Bybit saldırısı sayıları artırdı ancak dikkatin sadece buna odaklanmaması gerekiyor.
Günlük kayıpların çoğu hala basit tuzaklardan kaynaklanıyor: Kimlik avı bağlantıları, kötü niyetli cüzdan saldırıları, SIM takasları ve sahte “destek” hesapları. İyi haber şu ki güvenliği artırmak için siber güvenlik uzmanı olmanıza gerek yok. Birkaç temel alışkanlık (birkaç dakika içinde değiştirilebilecek olanlar) riskinizi önemli ölçüde azaltabilir. İşte 2025’te en önemli yedi şey:
1. SMS’i silin: Kimlik avına karşı korumalı 2FA’yı her yerde kullanın
Hesaplarınızı korumak için hâlâ SMS kodlarına güveniyorsanız kendinizi savunmasız bırakıyorsunuz.
SIM değiştirme saldırıları, suçluların cüzdanlarını boşaltmanın en yaygın yollarından biri olmaya devam ediyor ve savcılar bu yöntemle bağlantılı milyonlarca dolara el koymaya devam ediyor.
En güvenli adım, kimlik avına karşı dayanıklı iki faktörlü kimlik doğrulama (2FA) yöntemlerini (donanım güvenlik anahtarları veya platform geçiş anahtarları gibi) kullanmaktır.
Önce en kritik erişiminizi güvence altına alın: e-posta, alışverişler ve şifre yöneticiniz.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), çok faktörlü kimlik doğrulamanın daha zayıf biçimlerini atlayan kimlik avı tuzaklarını ve “itme-yorgunluk” dolandırıcılıklarını engellediği için bu yöntemi öne çıkarıyor.
Uzun, benzersiz şifreleri eşleştirin (uzunluk, karmaşıklığa ağır basar), yedek kodları çevrimdışı olarak saklayın ve borsalarda para çekme işlemlerinin beyaz listeye alınmasını etkinleştirin, böylece fonlar yalnızca sizin kontrol ettiğiniz adreslere gidebilir.
Biliyor musun? Kripto para birimi kullanıcılarına yönelik kimlik avı saldırıları, 2025’in ilk yarısında %40 arttı ve birincil vektör sahte değişim siteleri oldu.
2. Hijyenin imzası: israfı ve zararlı izleri durdurun
Çoğu kişi, gelişmiş saldırılarla değil, tek bir kötü imzayla fonlarını kaybeder.
Cüzdan süzgeçleri, sınırsız izinler vermeniz veya yanıltıcı işlemleri onaylamanız için sizi kandırır. Kaydolduğunuzda, hiç sormadan paranızı tekrar tekrar çekebilirler.
En iyi savunma yavaşlamaktır: her imza isteğini dikkatlice okuyun, özellikle de “setApprovalForAll”, “Permit/Permit2” veya “approve” sınırsız ifadesini görüyorsanız.
Yeni merkezi olmayan uygulamaları (DApp’ler) test ederken, riskli etkileşimler için Mint veya bir yakıcı cüzdan kullanın ve temel varlıklarınızı ayrı bir kasada saklayın. Kullanılmayan izinleri Revoke.cash gibi araçlarla periyodik olarak iptal edin. Çok basit ve küçük yakıt ücretine değer.
Araştırmacılar, özellikle mobil cihazlarda liman işçileriyle ilgili hırsızlıkların önemli ölçüde arttığını belirtiyor. İyi imzalama alışkanlıkları bu zinciri başlamadan durdurur.
3. Sıcak ve soğuk cüzdan: ayrı harcama ve tasarruf
Cüzdanları banka hesapları gibi düşünün.
-
Sıcak cüzdan, uygulamalarla etkileşime girmek ve harcama yapmak için uygundur.
-
Donanım veya çoklu imza (multisig) cüzdanı, uzun süreli güvenli depolamaya yönelik bir kasadır.
Özel anahtarlarınızı çevrimdışı tutmak, kötü amaçlı yazılımlardan ve kötü amaçlı sitelerden kaynaklanan neredeyse tüm riskleri ortadan kaldırır.
Uzun vadeli tasarruf için açılış cümlenizi kağıda veya çeliğe yazın; asla telefonda, bilgisayarda veya bulut hizmetinde saklamayın.
Kurtarma kurulumunuzu küçük bir test aktarımıyla test edin. Ek güvenlik konusunda kendinize güveniyorsanız bir BIP-39 şifresi eklemeyi düşünün, ancak şifreyi kaybederseniz erişimi sonsuza kadar kaybedersiniz.
Büyük bakiyeler veya paylaşılan hazineler için çoklu imzalı cüzdanlar, her işlemden önce iki veya üç farklı cihazın imzalanmasını gerektirir, bu da hırsızlığı veya yetkisiz erişimi çok daha zorlaştırır.
Biliyor musun? 2024 yılında özel anahtar ihlalleri, çalınan tüm kripto fonlarının %43,8’ini oluşturuyordu.
4. Cihaz ve tarayıcı hijyeni
Cihazınızın kurulumu cüzdanınız kadar önemlidir.
Saldırganların kullandığı yakın güvenlik açıklarını günceller; ardından işletim sisteminiz, tarayıcınız ve cüzdan uygulamalarınız için otomatik güncellemeleri etkinleştirin ve gerektiğinde yeniden başlatın.
Tarayıcı eklentilerini en aza indirin. Birçok yüksek profilli hırsızlığa, güvenliği ihlal edilmiş veya kötü amaçlı eklentiler neden olmuştur. Kripto işlemlerine özel olarak özel bir tarayıcı veya profil kullanmak, çerezlerin, oturumların ve oturum açma bilgilerinin günlük gezinmenize sızmasını önlemeye yardımcı olur.
Donanım cüzdanı kullanıcıları için “kör imzalama” varsayılan olarak devre dışı bırakılmalıdır; bu özellik işlem ayrıntılarını gizler ve aldatılmanız durumunda gereksiz riskler oluşturur.
Mümkün olduğunda hassas görevleri, çok sayıda uygulamayla dolu bir telefon yerine temiz bir masaüstünde gerçekleştirin. Minimal, güncel ve düşük potansiyelli saldırı yüzeylerine sahip bir konfigürasyon hedefleyin.
5. Göndermeden önce kontrol edin: Adresler, ağlar, sözleşmeler
Kripto para birimlerini kaybetmenin en kolay yolu onları yanlış yere göndermektir. Gönder düğmesine basmadan önce daima alıcının adresini ve ağını kontrol edin.
İlk transferlerinizde küçük bir deneme ödemesi yapın (ek maliyet, buna değer). Token veya NFT gönderirken doğru sözleşmeye sahip olduğunuzdan emin olmak için projenin resmi sitesini, CoinGecko gibi güvenilir kaynakları ve Etherscan gibi kaşifleri kontrol edin.
Taahhüt etmeden önce doğrulanmış kodları veya özel rozetleri arayın. Cüzdan adresinizi asla elle yazmayın. Her zaman kopyalayıp yapıştırın ve ilk ve son karakterleri kontrol edin.
“Airdrop talebi” sitelerine özellikle dikkat edin. Olağandışı izinler veya zincirler arası işlemler isterlerse durun ve kontrol edin. Şüpheli izinler verdiyseniz, işlem yapmadan hemen önce bunları iptal edin.
6. Sosyal mühendisliğe karşı savunma: romantik dolandırıcılıklar, “görevler”, kimlik sahtekarlığı
En büyük kripto dolandırıcılıkları genellikle kodlarla değil insanlarla yapılır.
Romantizm veya “domuz katliamı” dolandırıcılıkları sahte ilişkiler yaratır, kurbanları sahte karlar gösteren sahte ticaret panelleriyle kandırır ve onları daha fazla yatırım yapmaları için kandırır.
İş ilanı dolandırıcılıkları, WhatsApp veya Telegram’daki küçük görevler ve ödemeler sunan dostça mesajlarla başlar ve daha sonra para yatırma tuzaklarına dönüşür. “Destek personeli” gibi davranan dolandırıcılar ekran paylaşımı isteyebilir veya temel ifadenizi ifşa etmeniz için sizi kandırabilir.
Sinyal her zaman aynıdır: Gerçek Destek asla sizden özel anahtarlarınızı istemez, sizi benzer bir siteye yönlendirmez veya Bitcoin ATM’si veya hediye kartları aracılığıyla ödeme talep etmez. Bu uyarı işaretlerini fark ettiğiniz anda teması kesin.
Biliyor musun? “Domuz katliamı” dolandırıcılığı için yapılan para yatırma sayısı 2024’te bir önceki yıla göre yaklaşık %210 arttı, ancak ortalama işlem tutarı azaldı.
7. Kurtarma hazırlığı: Hataları kurtarılabilir hale getirin
En dikkatli insanlar bile hata yapabilir. Felaketle sonuçlanıp sonuçlanmayacağı sizin hazırlığınıza bağlıdır.
Kısa bir çevrimdışı “acil durum kartı” hazırlayın: borsa için doğrulanmış destek bağlantılarını, güvenilir bir iptal aracını ve Federal Ticaret Komisyonu (FTC) veya FBI’ın İnternet Suçları Şikayet Merkezi (IC3) gibi resmi raporlama portallarını ekleyin.
Bir şeyler ters giderse raporlarınıza işlem karmalarını, cüzdan adreslerini, tutarları, zaman damgalarını ve ekran görüntülerini ekleyin. Araştırmacılar genellikle bu ayrıntılar aracılığıyla farklı vakaları birbirine bağlar.
Fonlar hemen geri alınamayabilir ancak bir plan yapmak, toplam kaybı yönetilebilir bir hataya dönüştürecektir.
En kötü senaryo: ne yapmalı?
Kötü amaçlı bir bağlantıya tıkladıysanız veya yanlışlıkla para gönderdiyseniz hızlı hareket edin.
Kalan varlıklarınızı tamamen kontrol ettiğiniz yeni bir cüzdana aktarın, ardından Etherscan’in Token Onay Denetleyicisi veya Revoke.cash gibi güvenilir araçlarla eski izinleri iptal edin.
Şifrelerinizi değiştirin, kimlik avına karşı korumalı 2FA’ya geçin, diğer oturumlardan çıkış yapın ve e-postanızda oluşturmadığınız yönlendirme veya filtreleme kurallarını kontrol edin.
Ardından adım atın: borsanızla iletişime geçin, hedef adresleri bildirin ve IC3’e veya yerel düzenleyicinize bir rapor gönderin.
İşlem karmalarını, cüzdan adreslerini, zaman damgalarını ve ekran görüntülerini ekleyin; bu ayrıntılar, kurtarma uzun zaman alsa bile vakaların birbirine bağlanmasına yardımcı olur.
Genel ders basittir: Yedi alışkanlık (güçlü MFA, dikkatli imzalama, sıcak ve soğuk cüzdanın ayrılması, temiz cihaz kullanımı, göndermeden önce doğrulama, sosyal mühendisliğe karşı dikkatli olma ve kurtarma planı) günlük kripto tehditlerinin çoğunu durdurur.
Küçük başlayın: 2FA’nızı güncelleyin ve imzalama alışkanlıklarınızı bugün güçlendirin, ardından geliştirin. Biraz hazırlık sizi 2025 yılındaki yıkıcı kayıplardan koruyabilir.
Bu yazı yatırım tavsiyesi veya tavsiyesi içermemektedir. Her yatırım ve ticaret hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.