Bitcoin Forum

Bugün yaşanan Slope wallet olayıyla tekrar ortaya çıktı ki browser eklentisi yada kullanılan mobil cüzdanlar çeşitli güvenlik açıkları yaratarak private key yada seed'inizin saldırganlar tarafından ele geçirilmesine sebep olabiliyor. Bir çok merkeziyetsiz platform ile etkileşime geçilen bir dönemde olduğumuz için kullanmayın diye tavsiye vermek saçma ama büyük kayıplar yaşamanızın önüne geçebilecek önlemler var.

En önemlisi ana yatırımlarınızın bulunduğu cüzdanlara ait seed'i 3. parti cüzdanlarla etkileşime sokmamak. Hodl ettiğiniz birimler için hiç bir ortamla bağlantı kurmamış, 3. parti cüzdanlara yüklenmemiş, sıfırdan kurulmuş, tamamen temiz bir cüzdan kullanmalısınız. Etkileşime girdiğiniz cüzdanlarda ise mümkün olduğunca az birim bulundurmalısınız. İşiniz bittiğinde varlıklarınızı temiz adreslerinize üşenmeden yada transfer ücreti ödemekten çekinmeden aktarmalısınız.

Bitcoin cüzdanlarınız için de benzer şey geçerli. Eğer kullandığınız seed'i bir mobil cüzdana aktardıysanız yada zaten en başından bir mobil cüzdan kullanarak güvende olduğunuzu düşünüyorsanız yanılıyorsunuz.

Bu son olaylar sürekli yaşanırsa bize sürekli bir sorun olma psikolojisi yaşatacak. Belki de paranoyak olduracak. Mobil cüzdanlar özellikle her yerde yanımızda olduğu için bir çok açıdan pratiklik sağlıyor bize aslında. Yine de güvenli mi sorusuna cevabı vermişsiniz. Güvenli değil özellikle tüm yatırımı bu sektörde olan insanlar için hiç alınacak risk değil. Dikkatli olmak lazım.

Kripto auditi yapan bir projenin slope wallet hack analizi :
https://twitter.com/zellic_io/status/1554936143220617216

2 tip cüzdan kullanıyorum
biri soğuk cüzdan hiçbir yer ile bağlantısı yok. soğuktan sıcak cüzdana sadece işlem yapacağım tutar hareket eder işlem sıcak cüzdanda yapılır işlem bittiğinde geri gönderilir.

Soğuk cüzdanları bile approv izinleri vermek riskli ve riske gerek yok.

Kullanım şekliniz kesinlikle doğru. Bireysel doğrular yapsak dahi topluluğun genel olarak bilinçlenmesi gerekiyor. Benzer bir sorunun metamask için yaşandığını düşünsenize bütün bir ekosistemi derinden etkileyebilir. Doğru yapanlar bile oluşacak olayların büyüklüğünden dolayı etkilenebilir, acemi kullanıcıların korkmasından dolayı ekosistemin büyümesi yavaşlayabilir.

Soğuk cüzdan harici hiçbirşey artık güvenli değil. Borsalar zaten ne zaman gümleyecek diye beklerken, kullandığmız chrome eklentili cüzdanlar,mobil cüzdanlar.. Hiçbiri güvenilmez. Yüklü işlem yapanların Borsadan aldığını soğuk cüzdana , satacağı zaman tekrar borsaya gitmesi gerekir.

Çoğu zaman insanlar transfer ücretlerinin yüksek olduğunu söyleyerek ki dönemsel olarak haklı olabilecekleri dönemler oluyor ancak şu an neredeyse bütün zincirlerde transfer ücretlerinin çok düşük olduğunu düşündüğünüzde güvenlik önlemlerini arttırmanın tam zamanı. Eğer soğuk cüzdanlar ile çeşitli platformlarla bağlantılar kurulmuşsa onları bile daha önce hiç etkileşime girmemiş cüzdanlara taşımak gerekir.

Sollet hack olayı bir günde gerçekleşmedi. Çok uzun zamandır insanların seed & private keylerini biriktirmisler. Benzer şekilde şu an kişilerin hiç bilmedikleri platformlarda çeşitli önemli bilgileri sadece birilerinin harekete geçmesini bekliyor olabilir.

Solana ağında tokenlerinizi ve balance'inizi, stake ettiğiniz tokenleriniz, delegelediğiniz sol ve miktarını görebileceğiniz bir proje. Hack yemeyen cüzdanlar bir göz gezdirebilir.
https://app.step.finance/

Bu durum açıkça şunu gösteriyor daha az işlem ücretleri ödemek için farklı cüzdan uygulamalarının ne kadar sıkıntı yaratacağını gösteriyor. Bende genelde iki tip kullanırım genelde de soğuk cüzdan kullanırım ama airdrop tarzı işlemlerimide her zaman trustwallet veya metamask üzerinden gerçekleştiririm ki bunlae bile ciddi anlamda riskler çıkarabiliyor. Son dönemlerde özellikle solana cüzdanlarından uzak durulması gerekiyor. Çünkü şu son dönemlerde haddinden fazla hack olaylarına karışmaya başladı ve ben bu durumun artık kullanıcı hatalarından kaynaklandığına değil solana cüzdanlarında güvenlik açığı olduğuna yoruyorum.

Hack önlemi için Ledger de güzel bir çözümdür.

Ledger yada başka bir soğuk cüzdan evm zincirlerde 3. parti bir cüzdan ile bağlanıp bir platforma bağlanıp harcama onayı verdiyseniz varlıklarınızı güvencede tutmaz. Akıllı kontrata harcama iznini verdiğinizde siz 3. parti cüzdan yazılımdan veya donanım cüzdandan onay vermeden cüzdan içerisindeki varlıkları boşaltabilirler. Donanım cüzdanlar güvenlidir ancak sadece doğru kullanıldığında. Siz bir kontrata harcama izni ve diğer izinleri vermişseniz cüzdan üzerindeki fiziksel tuşları anlamsız kılmışsınız demektir.

Harcama izni verilirse tüm cüzdanlar güvensiz olur. Ona dikkat etmek boynumuzun borcu:) Ledger kelimelerinizi paylaşmaz. Slope cüzdandaki durumu görünce ledgerin güvenliğini daha iyi anlıyorum. Böylece güvenilir bir soğuk cüzdan kalır elinizde. İşlem onaylarınızda fiziki olarak ledgerden yapılmak zorundadır.

Bence kripto yatırımı yapan herkes ledger veya dengi bir hardwallet mutlaka almalı.

Bu audit işine de hayranım. Bir sürü firma audit işi yapıyor ama auditi yapılan bir sürü proje patladı. Ben anlamadım bu audit standart bir takım kontrat hatalarını mı test ediyor? Daha fazlasını, açık kapıları bulamadıktan sonra ne anladım ben bu işten?
En popülerlerinden birisi Certik. Webde basit arama ile bulamadım ama gerçekten Certik tarafından audit edilen kaç proje patladı merak ediyorum?
Ya da Certik audit yaptıktan sonra patlayan projelerde insanlara karşı sorumluluğu ne bu Certik'in?

Bizde oto eksper firmaları var biliyorsunuz. Onların bir çoğunun sözleşme metinlerinde şöyle bir şey yazar: bu rapor gün sonuna ya da satın alım anına kadar geçerlidir. What?
Nasıl yani oto dyno test yapıyorsun ben aldıktan 5 dakika sonra araba motor arızası yaparsa senin sorumluluğun yok mu? Certik işi de bunun gibi sanırım. Tokeni alana kadar. Aldığın anda rug yerse Certik sorumluluk taşımıyor.

En güzeli airgap 2 mobil cüzdan birisi imza için. Ledger, ip kadar tüm bilgileri toplayıp hükümetlere sunduğu ve durmadan güncelleme getiren bir donanım cüzdanı.

https://www.reddit.com/r/CryptoCurrency/comments/wurvt7/ledger_collects_and_stores_5y_transactions_time/

Eski bir cep telefonu, internet bağlantısı olmayan kullanılabilir donanım cüzdan için..QR kod okutma sayesinde mobil tel, ledgerdan daha kullanışlı.

Browser cüzdanların tümü sakat javascript yüzünden,her an boşaltılabilir.
Seçeceğiniz cüzdan kesinlikle opensource/açıkkaynak olmalı.

Merhaba hocam 2 sene önce ledger cüzdan ile metamask ledger bağlantısı yaparak matic stake yapmıştım. herhangi bir seed vs girmeden sadece platforma bağlamıştım ve stake için gereken izinleri vermiştim. işim bitince metamask ilişiği kaldırdım ledgerde şuanda akıllı kontratlar vs kapalı durumda. şimdi bu ledger güvensizmi oluyor acaba.

Platforma verdiğiniz izinleri (harcama izni v.b.) işleminiz bittikten sonra kaldırdıysanız problem yaşamazsınız. İzinler imza ile veriliyor seed ile ilgili bir sıkıntı yaşamazsınız. İzinleri verip kaldırmamış olsanız dahi aynı donanım cüzdandaki diğer ethereum adresleri yada bitcoin v.b. farklı adreslerinizle ilgili sorun yaşama olasılığınız yok. Sadece izni verdiğiniz adresi bağlar.

izinleri her girişimde tekrar istiyordu platformda hatta işlem yaparken dahi donanım cüzdanından onaylamam gerekiyordu harcama onaylarında kilit açmada kilitlemede vs. hepsinde manuel onay yapıyordum. ledger menüde baktım şimdi akıllı kontratlar kapalı gözüküyor. işin kötü tarafı aynı adresi kullanıyorum eth adres ama matic değil başka altcoin. başka eth adresle değiştirmelimiyim sizce hocam. Metamasktan tekrar bakayım dedimde parolayı unuttum uzun zaman olduğu için ve içinde tutar olmadığı için önemsemedim.

https://revoke.cash/ yada sadece ethereum için ise etherscan üzerinden verdiğiniz izinleri kontrol edebilirsiniz. Cüzdanlarınızı farklı adresleri farklı işlevler için organize etmek genelde riski azaltır. Örneğin HODL amaçlı tuttuğum birimleri tuttuğum adres farklı, swap v.b. ekstrem izinler için kullandığım adresler farklıdır. Çoğu kişi için paranoyakça gelebilir fakat tek bir hata ile tüm varlıklarımı kaybetmektense bazı durumlarda ekstradan transfer ücreti ödemeyi tercih ediyorum. Size de benzer bir yöntem kullanmanızı tavsiye ederim.

Metamask ethereum yada EVM zincirlerde daha kolay işlem gerçekleştirmenizi sağlayan basit bir arayüz, şifreyi hatırlamamanız problem değil. Yeni bir metamask kurup aynı cüzdanı oraya çıkartabilirsiniz ledger erişiminiz devam ettiği sürece.

revoke ve etherscandan baktım sadece matic için harcama ve yetki izni gözüküyor revoke için işlem ücreti istiyor yarın ledgeri bağlayıp hallederim, eskiden metamask ile bağlıyorduk ledgeri şimdi ledgerlive uygulaması ile walletconnecte bağlanıyor daha pratik olmuş.
Önemli olan aynı eth adresimdeki diğer altcoinlerden yetki vs gözükmüyor yani sadece maticleri kontrol edebilir harcayabilir ama diğerlerine dokunamaz demektir değilmi hocam. Zamanında yetkiyide matic stake için matic resmi sitesine vermiştim hocam.

Harcama iznini hangi birim için hangi zincirde verdiyseniz sadece o zincirde o birim için geçerli olur. Harcama iznini imzalarken tx oluşturarak zincire kayıt edilmişse iptal etmek için de zincir üzerinde işlem gerçekleştirmeniz gerekir. Doğal olarak bunun için de transfer ücreti ödemeniz gerekir. İzni kaldırmadığınızda bir gün unutup yüklü miktarda o birimden işlem yaparsanız sorun yaşama ihtimaliniz doğar. Bir noktadan sonra nereye ve ne izinler verdiğinizi hatırlamak imkansız hale geliyor.

teşekkürler hocam değerli bilgilendirmeleriniz için

En sağlıklısı kullanıcıları bilinçlendirip kendi kurdukları nodelar üzerinden işlem yapmaları. Bu şekilde hem kullandıkları coinin ekosistemine faydalı olurlar hem kendi güvenliklerini sağlarlar. Fakat ne yazık ki bu çoğu son tüketici için mümkün gözükmüyor.

yok daha neler üstüne pc de yapsınlar :)

node kurmak ve çalıştırmak riskl bir iştir daha fazla teknik bilgi bilmeli ve bu bilgi ile o nodu guvenliğinide sağlamalısınız öyle ben node kurdum çalınmaz düşüncesi hikayedir