Güvenlik

Bitcoin Hacklenmeye
Karşı Güvenli mi?

Bitcoin ağı hiç hacklenmedi. Borsa ihlalleri tamamen farklı bir hikaye. Bu rehber protokol güvenliğini saklama riskinden ayırır ve varlıklarınızı nasıl koruyacağınızı gösterir.

16 dk okuma
Bitcoin.diy Editorial·

Özet

  • Bitcoin blok zinciri 17+ yılda hiç hacklenmedi
  • Borsalar (merkezi şirketler) hacklenebilir ve hacklenmiştir
  • Kendi anahtarlarınızı tutarsanız borsa hackleri sizi etkileyemez
  • Donanım cüzdanı uzaktan saldırı vektörlerinin büyük çoğunluğunu ortadan kaldırır

"Bitcoin hacklendi" ana akım medyada en yaygın başlıklardan biridir. Aynı zamanda en yanıltıcılarından da. 17 yılı aşkın kesintisiz operasyonda Bitcoin ağının kendisi hiçbir zaman tehlikeye girmedi. Hacklenen şeyler, kullanıcılar adına Bitcoin tutan merkezi şirketlerdir: borsalar, saklama cüzdanları ve borç verme platformları. Bu ayrımı anlamak, Bitcoin güvenliğini dürüstçe değerlendirmek için esastır.

Bu rehber her düzeyde Bitcoin güvenliğini inceler: protokolün kendisi, onu ticarete konu eden borsalar ve Bitcoin'inizin güvende kalmasını belirleyen kişisel uygulamalar.

Bitcoin Protokolü Ne Kadar Güvenli?

Bitcoin, birbirine kilitli üç sistemle güvence altına alınmıştır: kriptografik algoritmalar, merkezi olmayan bir düğüm ağı ve iş kanıtı madenciliği. Birlikte, on beş yılı aşkın sürede her denenen saldırıya direnen bir güvenlik modeli oluştururlar.

Kriptografik Temel

Bitcoin, iş kanıtı madenciliği için SHA-256 (Güvenli Hash Algoritması 256 bit) ve işlem imzaları için ECDSA (Eliptik Eğri Dijital İmza Algoritması) kullanır. SHA-256 tek yönlü bir işlevdir: bir çıktı verildiğinde girişi belirlemek hesaplama açısından imkânsızdır. SHA-256'yı kırmak, on yıllardır incelenen matematikte temel bir kusur keşfetmeyi gerektirir. ECDSA, yalnızca özel anahtar sahibinin, karşılık gelen genel anahtarla ilişkili Bitcoin'in harcanmasını yetkilendirebildiğini sağlar.

Güvenliği perspektife koymak için: tek bir Bitcoin özel anahtarını kaba kuvvetle bulmak 2256 olası kombinasyonu denemek gerektirir. Bu sayı, gözlemlenebilir evrendeki tahmini atom sayısından daha büyüktür. Dünyadaki tüm bilgi işlem gücü bir araya gelse, evrenin ömrü boyunca tek bir Bitcoin özel anahtarını kıramaz.

Merkezi Olmayan Düğüm Ağı

Her kıtada 60.000'den fazla kamuya açık Bitcoin düğümü çalışmaktadır. Her düğüm, mutabakat kurallarına göre her işlemi ve bloğu bağımsız olarak doğrular. Saldırılacak merkezi bir sunucu yok. Bitcoin kurallarını değiştirmek için, bağımsız çalışan bu düğümlerin çoğunluğunu yazılımlarını güncellemeye ikna etmeniz gerekir; bu nedenle protokol değişiklikleri nadirdir ve ezici topluluk mutabakatı gerektirir.

İş Kanıtı Madenciliği

Bitcoin madencileri, ağı güvence altına almak için toplu olarak saniyede 500 eksahash'ın üzerinde bilgi işlem gücü harcamaktadır. Bu, insanlık tarihinin en büyük özel bilgi işlem ağıdır. Madencilik katmanına başarılı bir saldırı ("%51 saldırısı"), bir saldırganın bu bilgi işlem gücünün yarısından fazlasını kontrol etmesini gerektirir. Bunu denemek için yeterli ASIC madencilik donanımı edinmenin sermaye maliyeti 20 milyar doları aşmaktadır; süregelen elektrik maliyetleri sayılmaz. Bir saldırgan bir şekilde %51 hash gücü elde etse bile, yalnızca kendi son işlemlerini çifte harcayabilir, başkalarının Bitcoin'ini çalamaz.

Gerçekte Ne Hackleniyor: Borsalar, Bitcoin Değil

Haberler "Bitcoin hacklendi" dediğinde, neredeyse her zaman merkezi bir borsa veya saklama hizmetini kastediyor. Bunlar, diğer teknoloji şirketleri gibi veri tabanları, çalışanları ve güvenlik açıkları olan geleneksel şirketlerdir. Başarısızlıkları kurumsal güvenliğin başarısızlığıdır, Bitcoin'in değil.

2014: Mt. Gox (450 milyon dolar)

Zamanının en büyük Bitcoin borsası, zayıf güvenlik uygulamaları ve iddia edilen iç yönetim hataları nedeniyle yıllar içinde yaklaşık 850.000 BTC kaybetti. İhlal, Bitcoin topluluğunun kendi kendine saklama vurgusunu güçlendirdi.

2016: Bitfinex (72 milyon dolar)

Hackerlar Bitfinex'in çoklu imza cüzdanı uygulamasındaki güvenlik açıklarından yararlanarak yaklaşık 120.000 BTC çaldı. Borsa zararları tüm kullanıcılara dağıttı.

2019: Binance (40 milyon dolar)

Saldırganlar API anahtarları ve iki faktörlü kodları çalmak için kimlik avı, virüs ve sosyal mühendislik kullandı. Binance kaybı sigorta fonundan (SAFU) karşıladı; kullanıcılar zarar görmedi.

2022: FTX (Dolandırıcılık, 8 milyar dolar+)

Bir hack olmasa da FTX'in çöküşü nihai saklama riskini gösterdi. Müşteri fonları şirket içindekiler tarafından kötüye kullanıldı. Milyarlarca müşteri mevduatı kayboldu. Ders: karşı taraf riski Bitcoin'inize yönelik en büyük tehdittir.

Her büyük Bitcoin borsa ihlali ortak bir unsur taşır: bunlar Bitcoin'in kendisine değil, merkezi şirketlere yönelik saldırılardı. Bu borsalardaki Bitcoin, kullanıcılar özel anahtarlarını tutmaları için bir üçüncü tarafa güvendiği için çalındı. Kendi anahtarlarınızı donanım cüzdanında tuttuğunuzda, borsa ihlalleri sizi etkileyemez.

Kendi Kendine Saklama: Bitcoin'inizi Nasıl Güvende Tutarsınız?

Kendi kendine saklama, bir üçüncü tarafa güvenmek yerine kendi özel anahtarlarınızı tutmak anlamına gelir. Bitcoin'i tutmanın en güvenli yoludur ve Bitcoin'in tasarlandığı şeklidir. Uygun güvenlik uygulamalarıyla kendi kendine saklama, Bitcoin'inizi uzaktan çalmayı neredeyse imkânsız kılar.

Donanım Cüzdanları

Ledger Nano X, Trezor Safe 3 ve Coldcard gibi cihazlar, özel anahtarlarınızı internete doğrudan bağlanmayan güvenli bir çipte saklar. İşlemlerin cihazın ekranında fiziksel olarak onaylanması gerekir. Bilgisayarınız ele geçirilmiş olsa bile, donanım cüzdanı yetkisiz işlemleri imzalamaz.

Seed Phrase Yedeği

Seed phrase'iniz (12 veya 24 kelime) tüm cüzdanınızın ana yedeğidir. Kağıda yazın veya metal üzerine kazıyın (çelik yedek plakalar yangın ve suya dayanıklıdır). Donanım cüzdanınızdan ayrı güvenli bir yerde saklayın. Seed phrase'inizi asla dijital ortamda, bilgisayarda, telefonda veya bulut hizmetinde saklamayın.

Çoklu İmza Güvenliği

Çoklu imza cüzdanları bir işlemi yetkilendirmek için iki veya daha fazla anahtar gerektirir. 2/3 kurulumu, üç anahtardan herhangi ikisinin imzalaması gerektiği anlamına gelir. Anahtarlar farklı konumlarda veya farklı cihazlarda saklanabilir. Bu, tek nokta başarısızlıklarına karşı koruma sağlar ve önemli miktarda tutan kurumlar için standarttır.

Parola Koruması

İsteğe bağlı bir parola ("25. kelime" olarak da bilinir), seed phrase'inize ekstra bir güvenlik katmanı ekler. Birisi 24 kelimenizi keşfetse bile, parolayı bilmeden Bitcoin'inize erişemez. Bu, makul inkâr edilebilirlik yaratır: parola olmadan seed, bir cüzdanı gösterirken parola eklemek gizli bir tane ortaya çıkarır.

En Yaygın Bitcoin Saldırı Vektörleri

Kimlik Avı Saldırıları

Kimlik avı, Bitcoin sahipleri için en yaygın tehdittir. Saldırganlar, giriş bilgilerinizi veya seed phrase'inizi ele geçirmek için tasarlanmış sahte borsa web siteleri, cüzdan yazılımları veya müşteri destek portalları oluşturur. Savunma basittir: borsanızdan geldiğini iddia eden e-postalardaki bağlantılara asla tıklamayın, URL'leri her zaman doğrudan yazın, yalnızca meşru domainlerde otomatik dolduran bir parola yöneticisi kullanın ve hiçbir meşru hizmetin seed phrase'inizi istemeyeceğini unutmayın.

Pano Kötü Amaçlı Yazılımı

Pano korsanlığı kötü amaçlı yazılımı, panonuzu Bitcoin adresleri için izler ve bunları sessizce saldırganın adresiyle değiştirir. Alıcının adresini yapıştırdığınızı düşündüğünüzde, aslında saldırgana Bitcoin gönderiyorsunuzdur. Savunma: donanım cüzdanı ekranında herhangi bir işlemi onaylamadan önce her zaman adresin ilk ve son birkaç karakterini görsel olarak doğrulayın.

Sosyal Mühendislik

Sofistike saldırganlar müşteri desteğini, romantik ilgileri, yatırım danışmanlarını veya hatta arkadaş ve aile üyelerini taklit edebilir. Zamanla güven inşa ederler ve sonunda Bitcoin göndermenizi veya seed phrase'inizi açıklamanızı isterler. Savunma: seed phrase'inizi herhangi bir sebeple kimseyle paylaşmayın, "destek" ekiplerinden gelen istenmeyen iletişime şüpheyle yaklaşın ve alışılmadık herhangi bir talebi ayrı bir iletişim kanalından doğrulayın.

SIM Değiştirme Saldırıları

SIM değiştirme, mobil operatörünüzü telefon numaranızı saldırganın kontrol ettiği yeni bir SIM karta aktarmaya ikna etmeyi içerir. Bu, SMS tabanlı iki faktörlü kimlik doğrulama kodlarınızı almalarını sağlar. Savunma: SMS tabanlı 2FA yerine donanım güvenlik anahtarları (YubiKey gibi) veya kimlik doğrulama uygulamaları kullanın ve mobil operatör hesabınıza yetkisiz değişiklikleri önlemek için PIN veya parola ekleyin.

Güvenlik En İyi Uygulamaları Kontrol Listesi

1

Donanım Cüzdanı Kullanın

Kaybetmekten üzüleceğiniz herhangi bir Bitcoin miktarı için donanım cüzdanı kullanın. Bu tek adım, uzaktan saldırı vektörlerinin büyük çoğunluğunu ortadan kaldırır.

2

Seed Phrase'inizi Çevrimdışı Güvende Tutun

Seed phrase'inizi kağıda yazın veya metal üzerine kazıyın. Yangına dayanıklı bir kasada veya güvenli bir yerde saklayın. Hiçbir zaman fotoğrafını çekmeyin, bilgisayara yazmayın ve bulut hizmetinde saklamayın.

3

Güçlü İki Faktörlü Kimlik Doğrulama Etkinleştirin

Tüm borsa ve e-posta hesapları için donanım güvenlik anahtarları (YubiKey) veya kimlik doğrulama uygulamaları kullanın. SIM değiştirme saldırılarına karşı savunmasız olan SMS tabanlı 2FA'dan kaçının.

4

Her İşlemi Doğrulayın

Herhangi bir Bitcoin gönderimini onaylamadan önce, alıcı adresini donanım cüzdanı ekranında doğrulayın. Hedeflenen adrese karşı en az ilk ve son altı karakteri kontrol edin. Bu pano kötü amaçlı yazılımını yakalar.

5

Borsa Riskini Minimize Edin

Bitcoin'i yalnızca aktif olarak işlem yaparken borsada tutun. Mümkün olan en kısa sürede kendi cüzdanınıza çekin. Unutmayın: anahtarları kontrol etmiyorsanız, Bitcoin'i tam olarak kontrol etmiyorsunuz.

Bitcoin'iniz Güvenli mi?

Bitcoin, bugüne kadar oluşturulan en güvenli finansal ağlardan biridir. Kriptografik temeli, merkezi olmayan düğüm ağı ve iş kanıtı madenciliği, 17 yılı aşkın süren kesintisiz düşmanca baskıya tek bir başarılı ihlal olmaksızın direnen bir güvenlik modeli oluşturmuştur.

Gerçek güvenlik riskleri, merkezi aracılardan (borsalar, saklama hizmetleri) ve kişisel güvenlik hatalarından (kimlik avı, kayıp seed phrase'ler, zayıf operasyonel güvenlik) gelir. Bu risklerin her ikisi de donanım cüzdanıyla kendi kendine saklama uygulayarak ve bu rehberde belirtilen güvenlik uygulamalarını takip ederek etkili biçimde ortadan kaldırılabilir. Bitcoin'iniz tam olarak anahtar yönetiminiz kadar güvenlidir.

Sıkça Sorulan Sorular

Bitcoin ağı hiç hacklenmiş midir?
Hayır. Bitcoin blok zinciri, 17 yılı aşkın kesintisiz operasyonunda hiç hacklenmemiştir. Protokol, birçok küçük ülkeden daha fazla enerji harcayan dünyanın en büyük bilgi işlem ağıyla güvence altındadır. İnsanların sıklıkla "Bitcoin hacklemesi" olarak adlandırdığı şeyler, aslında kullanıcılar adına Bitcoin tutan merkezi borsaların, cüzdanların veya üçüncü taraf hizmetlerin ihlalleridir; Bitcoin protokolünün kendisine yönelik saldırılar değil.
Bitcoin'i hacklemek ile borsayı hacklemek arasındaki fark nedir?
Bitcoin'i hacklemek, blok zincirini güvence altına alan kriptografik algoritmaları veya mutabakat mekanizmasını kırmak anlamına gelir. Bu hiç olmadı ve var olmayan bilgi işlem gücü gerektirir. Bir borsayı hacklemek, bir şirketin güvenlik sistemlerini ihlal etmek demektir. Borsa hackleri kurumsal güvenliğin başarısızlığıdır, Bitcoin teknolojisinin değil. Ayrım kritik: Bitcoin protokolü güvenlidir; etrafında inşa edilen işletmeler değişen güvenlik düzeylerine sahiptir.
Kuantum bilgisayar Bitcoin'i kırabilir mi?
Mevcut kuantum bilgisayarları Bitcoin'in kriptografisini kıramaz. Bitcoin, madencilik için SHA-256, imzalar için ECDSA kullanır. Yeterince güçlü bir kuantum bilgisayar teorik olarak ECDSA'yı kırabilir, ancak bu tür makinelerin en az 10-20 yıl uzakta olduğu tahmin ediliyor. Bitcoin geliştiricileri kuantum sonrası kriptografik algoritmalar üzerinde aktif olarak araştırma yapıyor ve protokol, kuantum bilişim pratik bir tehdit haline gelmeden önce yumuşak bir çatal ile güncellenebilir.
%51 saldırısı nedir ve Bitcoin'de mümkün müdür?
Tek bir kuruluş toplam madencilik hash oranının yarısından fazlasını kontrol ettiğinde %51 saldırısı gerçekleşir. Bitcoin'de bu saldırı teorik olarak mümkün ama pratikte gerçekleştirilemez. Ağın %51'ini kontrol etmek için yeterli madencilik donanımı ve elektrik edinmenin maliyeti on milyarlarca doları aşmaktadır. Üstelik böyle bir saldırı, saldırganın milyarlarca dolar harcadığı varlığın değerini hemen çöküşe götürür.
Mt. Gox olayında ne oldu?
Mt. Gox, zirvesinde tüm Bitcoin işlemlerinin yaklaşık %70'ini işleyen Tokyo merkezli bir Bitcoin borsasıydı. Şubat 2014'te borsa, zayıf güvenlik uygulamaları ve yönetim hataları nedeniyle yıllar içinde yaklaşık 850.000 Bitcoin'in (o dönemde yaklaşık 450 milyon dolar değerinde) çalındığını açıklayarak iflasını ilan etti. Mt. Gox hacklenmesi Bitcoin'in kendisinin değil, merkezi bir saklamanın başarısızlığıydı.
Bitcoin çifte harcamaya karşı nasıl koruma sağlar?
Çifte harcama aynı Bitcoin'i iki kez harcamaya çalışmak demektir. Bitcoin, iş kanıtı mutabakat mekanizmasıyla bunu önler. Bitcoin gönderdiğinizde işlem ağa yayılır ve madenciler tarafından bir bloğa dahil edilir. Bir blokta onaylandıktan ve ardından bloklar eklendikten sonra işlemi geri almak hesaplama açısından imkânsız hale gelir. Altı onaydan (yaklaşık bir saat) sonra bir işlem tüm pratik amaçlar için geri alınamaz kabul edilir.
Donanım cüzdanları gerçekten güvenli midir?
Donanım cüzdanları Bitcoin güvenliği için altın standarttır. Ledger Nano X, Trezor Safe 3 ve Coldcard gibi cihazlar, özel anahtarlarınızı internete asla doğrudan bağlanmayan özel bir çipte tutar. Bilgisayarınız kötü amaçlı yazılımla ele geçirilmiş olsa bile, donanım cüzdanı ekranında gösterilenin farklı olduğu bir işlemi imzalamaz. Temel riskler fiziksel hırsızlık (PIN koruması ve parola özellikleriyle hafifletilir) ve tedarik zinciri saldırılarıdır (doğrudan üreticiden satın alarak hafifletilir).
Seed phrase nedir ve neden önemlidir?
Bir seed phrase (kurtarma ifadesi veya anımsatıcı olarak da bilinir), bir Bitcoin cüzdanı oluşturduğunuzda oluşturulan 12 veya 24 kelimelik bir dizidir. Bu ifade, özel anahtarlarınızın okunabilir bir yedeğidir. Donanım cüzdanınız kaybolursa, çalınırsa veya hasar görürse, seed phrase ile yeni bir cihazda tüm Bitcoin bakiyenizi geri yükleyebilirsiniz. Seed phrase gizli tutulmalı ve çevrimdışı olarak güvenli bir şekilde saklanmalıdır.
İnsanların Bitcoin kaybetmesinin en yaygın yolları nelerdir?
En yaygın yollar şunlardır: kimlik avı saldırıları (giriş bilgilerini veya seed phrase'i çalan sahte web siteleri), kötü amaçlı yazılımlar (cüzdan adreslerini değiştiren keylogger'lar veya pano korsanları), borsa başarısızlıkları (borsa hacklenir veya iflas eder), kayıp seed phrase (yedek kelimeleri unutmak veya kaybetmek) ve sosyal mühendislik (destek personelini veya romantik ilgileri taklit eden dolandırıcılar). Bu risklerin neredeyse tamamı donanım cüzdanı kullanılarak azaltılabilir.
Çoklu imza nedir ve güvenliği nasıl artırır?
Çoklu imza (multisig), bir Bitcoin işlemini yetkilendirmek için birden fazla özel anahtar gerektiren bir güvenlik özelliğidir. Örneğin, 2/3 multisig kurulumu, bir işlemi imzalamak için üç anahtardan herhangi ikisini gerektirir. Üç anahtar, farklı konumlarda, farklı cihazlarda veya farklı kişilerde saklanabilir. Bir anahtar ele geçirilirse veya kaybolursa Bitcoin güvende kalır. Multisig, kurumlar, borsalar ve güvenlik bilincine sahip bireyler tarafından yaygın olarak kullanılır.
Bitcoin'i bir borsada tutmak güvenli midir?
Bitcoin'i bir borsada tutmak pratiktir ancak önemli risk taşır. Borsalar, hackerlar için merkezi hedeflerdir ve Bitcoin tarihinde defalarca ihlal edilmiştir. Bir borsa hacklenir veya iflasa sürüklenirse (2022'de FTX gibi), fonlarınızın bir kısmını veya tamamını kaybedebilirsiniz. Bitcoin topluluğu yaygın olarak şunu söyler: "anahtarlarınız sizin değilse, coinsiz sizin değil." Küçük işlem miktarlarının ötesinde, Bitcoin'i kontrol ettiğiniz kişisel bir cüzdana çekmeniz şiddetle tavsiye edilir.
Kimlik avı saldırılarından nasıl korunabilirim?
Kimlik avı saldırıları Bitcoin sahipleri için en yaygın tehditler arasındadır. Kendinizi korumak için: bağlantılara tıklamak yerine her zaman borsa URL'lerini doğrudan tarayıcınıza yazın, iki faktörlü kimlik doğrulamayı etkinleştirin (SMS değil, tercihen donanım güvenlik anahtarı), seed phrase'inizi herhangi bir web sitesine veya dijital cihaza asla girmeyin, borsa adına geldiğini iddia eden e-postaların gönderenini doğrulayın ve hizmetlerde kimlik bilgilerini yeniden kullanmaktan kaçınmak için bir parola yöneticisi kullanın.

Bitcoin'inizi Güvende Tutun

En iyi güvenlik kendi kendine saklama. Doğru donanım cüzdanını nasıl seçeceğinizi öğrenin ve Bitcoin'inizin kontrolünü elinize alın.

Donanım Cüzdanı Rehberi Kendi Kendine Saklama Rehberi