SPACEKOL görüşleri genel bakış

Borsa hesap güvenliği sorunlarını teknik açıdan analiz etti ve istek başlığındaki doğrulama alanı ayarlanarak çerezlerin çalınmasının etkili bir şekilde önlenebileceğini belirtti.

Deneyimli bir sözleşme geliştiricisi olarak, varlık işlemlerinde sıkı güvenlik politikalarının gerekliliğini vurguladı ve borsa güvenlik politikaları konusundaki gözlemlerini ve deneyimlerini paylaştı.

Kişisel deneyim aracılığıyla, hacker saldırısının sürecini anlattı ve web3 cüzdanı kullanırken potansiyel risklere dikkat çekti.

Bir güvenlik araştırmacısı olarak, karşılıklı ticaret mekanizmasını analiz ettim ve kullanıcıların tarayıcı eklentilerini indirirken izin sorunlarına dikkat etmelerini, olası güvenlik risklerinden kaçınmalarını önerdim.

Manta'da researchcontent alanındaki iş deneyimimi paylaştım ve DAO yönetiminde topluluğun önemini vurguladım.

Serbest tartışma bölümünde uzmanlar aşağıdaki konuları derinlemesine ele aldılar:

• Cüzdan mı yoksa borsa mı kişisel varlıklar için daha güvenli? Çoğu katılımcı, bunun kullanıcının kişisel risk tercihi, varlık boyutu ve işlem sıklığına bağlı olduğunu düşünüyor. Cüzdan en yüksek güvenliği sağlarken, pratiklik açısından daha düşük; borsa ise daha pratik fakat güvenliği kendi güvenlik sistemine bağlı.
• Kişisel varlıkların güvenliğini nasıl artırabilirim? Öneriler arasında soğuk ve sıcak cüzdanların ayrılması stratejisi, çoklu imza teknolojisi, oltalama sitelerine ve dolandırıcılık bilgilerine karşı dikkatli olmak, ayrıca hesap ve varlıkları düzenli olarak denetlemek yer alır.
• Kripto para alanında düzenlemenin rolü nedir? Konuklar genel olarak, makul bir düzenleyici müdahalenin varlık güvenliğini artırmaya yardımcı olduğunu, özellikle de varlıkların çalınmasının ardından geri alınması sürecinde.

Space harika bir geri dönüş

24 Mayıs'ta gerçekleşen 500w tutarındaki bir Web3 kullanıcı varlıklarının çalınması olayında, hackerlar bir borsa hesabının kullanıcı adı, şifresi ve iki aşamalı doğrulama bilgilerini elde etmeden, kullanıcı hesaplarındaki tüm fonları başarıyla çaldı. Bu olayın anahtarı, hackerların piyasa manipülasyonu ve tarayıcı eklentilerinin güvenlik açıklarından yararlanmasıdır. Peki, piyasa manipülasyonu ve tarayıcı eklentileri neden hırsızların amacına ulaşmasını sağladı?

Tarafların Birinci Şahıs Bakış Açısından Olayın Gözden Geçirilmesi

17 yıl önce kripto dünyasına girdim, iki boğa ve ayı döngüsü yaşadım, 5 kez sıfıra düştüm. Bu hırsızlık olayı hakkında, borsa aracılığıyla değil, bir Web3 cüzdanı kullanarak işlem yaptım.

Beş gün önce bir sabah, otelden çıktıktan sonra yatırım yaptığım projelerin resmi bilgilerini gözden geçirdim. Resmi hesapların tweet'leri altında, resmi bilgileri taklit eden birinin olduğunu fark ettim; kullanıcı adı resmi hesapla son derece benzerdi------her ne kadar hesap farklı olsa da. Genelde belirsiz ödülleri rastgele almayı sevmem ama o sefer denemek istedim. Eve döndüğümde, cüzdanıma giriş yaptım ve bir bağlantıyı kopyaladım. Cüzdan tarayıcısında bağlantıyı açtığımda, sayfada yalnızca bir "Cüzdanı Bağla" butonu vardı. Teknolojiye pek aşina olmadığım için bunun normal bir işlem olduğunu düşündüm. Bağlandıktan sonra, varlıkları transfer etmek için yetki vermem gerektiğini fark ettim ama bağlandıktan hemen sonra bir şeylerin yanlış gittiğini hissettim. Bağlantı adını dikkatlice kontrol ettiğimde, adın yanlış olduğunu fark ettim, o zaman bir soygunla karşılaşmış olabileceğimi anladım. İşte tüm deneyimim bu. Teşekkürler.

Soru 1: Kişisel varlıkları hack saldırılarından nasıl koruyabilirim?

Öncelikle, borsa hesapları ve ikincil doğrulama mekanizması aslında kullanıcıların oturum durumunu elde etmek için vardır, yani bildiğimiz çerezleri. Bu durum sayesinde, geleneksel kullanıcı adı ve şifreyi atlayarak sisteme doğrudan erişim sağlanabilir, bu da siber saldırı ve savunma konusunda oldukça yaygındır.

Teknik açıdan bakıldığında, tarayıcı eklentileri son derece yüksek bir yetkiye sahiptir ve kullanıcıların çerezleri de dahil olmak üzere web sitelerinin tüm verilerine erişebilir. Örneğin, tarayıcının şifre yöneticisi bir eklentidir ve JS kodunu kullanarak kullanıcı adı ve şifreyi ilgili giriş kutularına girebilir, bu nedenle kullanıcıların çerezlerini de elde edebilir. Bireysel kullanıcıların kaynağı belirsiz tarayıcı eklentileri yüklemekten kaçınmaları gerekir. Eğer yüklemek zorundaysanız, öncelikle kaynak kodunu kontrol etmek ve şüpheli çerez yakalama fonksiyonları veya anahtar kelimeler olmadığından emin olmak en iyisidir.

Teknik olarak, bu bir güvenlik açığı olarak kabul edilmez ve CVE de bunu bir güvenlik açığı olarak sınıflandırmaz. Ancak, borsa tamamen kullanıcı çerezlerinin sızması nedeniyle hesapların ele geçirilmesini önlemek için gerekli önlemleri alabilir. Örneğin, isteğin başlığında bir token gibi doğrulama alanları ayarlayabilir ve bu doğrulama alanlarını kullanıcı kimlik bilgileri olarak kullanabilir; sadece çerezlere güvenmek yerine, bu sayede çerezlerin kötüye kullanılmasını etkili bir şekilde engelleyebilir. Bunlar benim bazı görüşlerim.

Teknik açıdan Jim tamamen analiz etti, ben strateji açısından görüşlerimi paylaşacağım. Ülkedeki birçok bankanın yazılım güvenlik politikaları sıkı, örneğin ekran geçişinde şifreyi yeniden girmeyi gerektiriyor, bu varlık işlemlerinde özellikle önemlidir. Örneğin, erken dönemde bir borsa kullanıcıların giriş yaptıktan sonra fon şifresi ayarlamalarını isteyerek kısa vadeli işlem yetkisini açmalarını talep ediyordu, süreç karmaşık olsa da ek bir güvenlik sağlıyordu. Ancak, işlem kolaylığı ihtiyacının artmasıyla, bir borsa bu politikayı kaldırdı ve bu durum karşılıklı işlemler gibi güvenlik sorunlarında yeterince güvenli görünmüyor.

Karşılıklı işlemler yeni bir fenomen değil, 2021'de kullanıcılar bu tür sorunlardan dolayı kayıplar yaşamıştı. Bu, merkezi borsa güvenlik stratejilerinin güçlendirilmesi gerektiğini bir kez daha hatırlatıyor. Güvenlik stratejilerinin belirlenmesi, kullanıcı kolaylığı ile varlık koruması arasında bir denge sağlamalıdır; bu, benzer karşılıklı işlem olaylarının meydana gelmesini önlemek içindir. Merkezi borsa, varlıkların korunmasında önemli bir halka olarak, güvenlik mekanizmalarını önemsemeli ve sürekli olarak optimize etmelidir.

Borsa fon şifresinin önemine dair bir ek yapmak istiyorum. Fon şifresi, varlıkların çalınmasını bir ölçüde önleyebilir. Hatta bir hacker çerezleri çalarak borsa hesabına giriş yapsa bile, fon şifresi olmadan işlem yapamaz.

Karşılıklı ticaret, yaygın bir tekniktir; hackerlar, likiditesi düşük olan kripto paraları seçebilir, mağdurun hesaplarında emir vererek, kendi hesaplarıyla daha düşük bir fiyattan alım yaparak, fonları kendi hesaplarına aktarabilir ve böylece kayıplara neden olabilir.

Ayrıca, tarayıcı eklentilerinin güvenliğini vurgulamak istiyorum. Chrome tarayıcı eklentilerinin izinleri oldukça geniştir, indirildikten sonra tarayıcı, eklentinin ihtiyaç duyduğu izinleri kullanıcıya bildirir. Kişisel olarak, izinleri aşırı veya belirsiz görünen herhangi bir eklenti için izin açıklamasını öncelikle okumanızı öneririm; eğer güvenliğinden emin değilseniz, kullanmamak için en iyisi kaldırmaktır. Bu, benzer güvenlik olaylarını önlemenin etkili bir yoludur.

Önceki konuk birçok noktayı kapsadı. Eklemek istediğim şey, öncelikle, kaynağı belirsiz eklentileri indirmekten kaçınmalıyız. Bazı eklentiler KOL'lerin önerisini alsa bile, yurt dışındaki KOL'lerin daha önce tanıttığı şeylere karşı da dikkatli olmalıyız. Bazen, KOL'ler veya proje ekipleri resmi olarak airdrop gibi fayda bilgileri yayınlayabilir, ancak yine de herkesin sabırlı olmasını, acele etmemesini öneriyorum. Çünkü bu bilgiler muhtemelen çalınmış hesaplardan geliyor ve sahte bilgiler yayınlanıyor. Sonuç olarak, dikkatli olmak anahtardır, teşekkürler.

Soru İki: AI yüz değiştirme teknolojisinin güvenlik zorlukları nasıl aşılabilir?

Deepfake teknolojisi, siber saldırıların yaygın bir aracı haline geliyor. Kötü niyetli gruplar, bu teknolojiyi sahte materyaller üretmek, toplu saldırılar başlatmak ve güvenlik önlemlerini aşmak için, örneğin kusurları kullanarak sahte yüzler oluşturmak gibi yöntemlerle saldırılar düzenlemek amacıyla kullanıyorlar.

Güvenlik alanında, güvenlik duvarları bu tür kimlik doğrulama atlatma saldırılarını önleyemez. Örneğin, bazı borsa platformları kullanıcı şifresini unuttuğunda yalnızca tek bir yüz tanıma doğrulamasına dayanabilir, bu da derinlemesine savunma sisteminin eksikliği anlamına gelir ve bu durum güvenlik açıklarına yol açabilir. Yüksek güvenlik gereksinimlerinin olduğu durumlarda, özellikle cihazın ilk kez giriş yaptığı veya anormal bir ortamda, yalnızca OCR ve yüz tanıma kullanılması önerilmez; SMS gibi çift faktörlü kimlik doğrulama ile birleştirilmelidir.

Algoritmalara karşı, yüz tanıma alanındaki saldırı ve savunma oldukça yoğundur, birçok varyant özellik ve araç bulunmaktadır, sadece tek bir algoritmaya güvenmek yeterli değildir. Tam bir yüz savunma sistemi kurmalıyız, tıpkı Alipay'in yaptığı gibi, terminal güvenliği ve sistematik algoritma direnişini birleştirerek, mevcut saldırı ve savunma durumuna göre hızlı bir şekilde yanıt vermeliyiz.

Eğer bir kişi bu tür bir saldırıyla karşılaşırsa ve durumu araştırmakta zorluk çekiyorsa, derhal borsa ile iletişime geçmeli ve hesap çalınma durumunu bildirmelidir. Hesabı mümkün olduğunca dondurmalı, erişim bilgilerini değiştirmeli ve iki faktörlü kimlik doğrulamayı etkinleştirmelidir. Aynı zamanda, ilgili kanıtları saklamalı ve varlıkları geri almaya çalışmalıdır.

Deepfake teknolojisi gelişmiş olsa da, üretim sürecinde yüz özelliklerinin bozulması gibi hatalar ortaya çıkabilir. Şu anda, Alipay düzeyinde güvenlik doğrulama önlemleri alındığında, bu tür sorunlarla başa çıkmak için yeterli olmalıdır. Ancak, kişisel koruma açısından, somut koruma önerileri sunmak oldukça zordur.

Kişisel bilgi sızıntısı gibi sorunlar yaygın olarak mevcut, bireysel kullanıcıların bağımsız olarak önlem alması zor. Bence, borsa gibi kuruluşların yüz tanıma güvenliğini ve sertifikasyon standartlarını artırması için çağrıda bulunulmalıdır, böylece sorun köklü bir şekilde çözülmeli, kullanıcıların nasıl koruma sağlayacaklarını araştırmaları istenmemelidir. Bireysel koruma yetenekleri sınırlıdır, güvenlik şirketlerinin iş birliği ve profesyonel teknik desteği gereklidir, bu da en iyi çözüm olacaktır.

Bir sıradan kullanıcı olarak görüşlerimi paylaşmak istiyorum. Şüpheli hesapların dondurulması için borsa tarafından zamanında bilgilendirilmek etkili bir yöntem olsa da, bu yöntem mükemmel değildir. Hackerlar genellikle organize bir şekilde hareket ederler ve varlıkları çok hızlı bir şekilde transfer ederler. Ben böyle bir durumu bizzat yaşadım; varlıklarım çalındığında, hacker hızla varlıkları transfer etti ve ben borsa ile irtibat kurup karşı tarafın hesabını dondurmak istediğimde, hesaptaki varlıklar çoktan boşaltılmıştı.

Bu, çalınan varlıkları geri alırken hızımızın hackerların gerisinde kaldığını gösteriyor. Hak arama süreci çok zor çünkü genellikle dezavantajlı bir konumda oluyoruz.

AI olayıyla ilgili olarak, sorunun borsa güvenlik ayarlarının yetersiz olduğuna inanıyorum. E-posta güvenliği nispeten düşük, genellikle şifre değişikliği için e-posta doğrulama kodu, telefon doğrulama kodu veya iki faktörlü doğrulama gerekmektedir. Ancak, bu olayda, hacker diğer güvenlik doğrulamalarını geçerek yalnızca kimlik kartı ve AI videosu yükleyerek başarılı oldu, bu da risk kontrol önlemlerinin eksikliğini göstermektedir.

Güvenlik ayarları sıfırlandığında, borsa en az 24 saat boyunca ilgili işlemleri kısıtlamalı ve sıfırlama durumunu kullanıcılara bildirmelidir, böylece kullanıcıların tepki vermesi ve hesaplarını koruması için yeterli zamanı olur. Ancak bu durumda, hacker 24 saat içinde varlıkları transfer etti, bu kabul edilemez.

Bir borsa üzerinden C2C ile bir stablecoin satın alırken, herhangi bir çekim kısıtlaması olmadan deneyimledim, bu da kara para aklama riski taşıyor. Görünüşe göre, borsanın risk kontrol önlemleri güçlendirilmelidir. Çalınan varlıkların takibi konusunda, borsa yavaş hareket ediyor veya hesapları dondurmak için büyük miktarda belge talep ediyor, bu durum çalınan varlıkların takibini ve geri kazanımını son derece zorlaştırıyor. Borsa ile işbirliği yapmaya çalışsak da, bu hâlâ karmaşık bir sorun.

Önceki konukların önerdiği görüşlere tamamen katılıyorum. Öncelikle, borsaların güvenlik ayarlarını hemen değiştirmesi ve 24 saat içinde para çekme işlemlerini kısıtlaması gerektiğini düşünüyorum. Ayrıca, varlıklarınızı borsa hesabına yatırmak, bir güvenlik varsayımına dayanmaktadır. Eğer borsa içinde birisi kullanıcı bilgilerini satıyorsa, bu durumu önlemek oldukça zor. Biz sıradan kullanıcılar olarak yapabileceğimiz tek şey, kanıtları saklamak, borsa ile iletişime geçmek ve haklarımızı korumak, umarım tazminat alabiliriz.

Ayrıca, sıradan kullanıcılar için, kendim de dahil olmak üzere, zenginliği kamuya açık alanlarda veya sosyal medyada göstermemeyi öneriyorum, böylece kişisel bilgileri ifşa etmeyiz. Örneğin, kripto para dünyasından bir arkadaşımın Bali'de seyahat ederken, yolda telefonuyla oyun oynadığı için kapkaççılar tarafından telefonunun çalındığını ve telefonunda cüzdan uygulamasını açtığı için varlıklarının çalındığını öğrendim. Bu nedenle, kamuya açık alanlarda mali durumumuzu ifşa etmekten kaçınmalıyız.

Ayrıca, daha önce bir etkinlikte hackerların QR kodları taratarak trojan programları yaydığı bir olay yaşandı. Bu nedenle, katıldığınız etkinliklerde dikkatli olmanızı, bilinmeyen kaynaklardan uygulama indirmeden veya QR kodlarını taramadan önce iki kez düşünmenizi hatırlatmak isterim. Bunlar, kişisel varlıklarımızı korurken dikkat etmemiz gereken önemli noktalardır. Teşekkürler.

Soru Üç: Kullanıcıların kişisel varlıkları cüzdanda mı daha güvenli yoksa borsada mı daha güvenli

Varlık depolama seçimi konusunda, bireyin risk toleransı, varlık büyüklüğü ve işlem sıklığına göre karar verilmesi gerektiğini düşünüyorum. Özel anahtara sahip cüzdanlar güvenlik açısından en yüksektir, ancak bazı kullanım kolaylıklarından feragat edilebilir. Aynı zamanda, özel anahtarların yönetimi son derece önemlidir ve kimlik avı gibi sosyal mühendislik saldırılarına karşı önlem alınmalıdır.

Büyük varlıkları olan ve işlem yapmayan kullanıcılar için cüzdan kullanmak daha uygun olabilir. Borsa depolamayı seçmek, özel anahtarların borsaya emanet edilmesi anlamına gelir ve güvenlik tamamen borsanın güvenlik sistemine bağlıdır. Şu anda, birçok borsa siber güvenlik ve risk yönetimi sistemleri açısından eksiklikler göstermekte ve yetersiz kalmaktadır.