Öne çıkanlar:
2025’in ilk yarısında 2,4 milyar dolardan fazla çalındı ve bu rakam 2024’ün toplamını şimdiden geçti.
Kimlik avı, zararlı izinler ve sahte “destek” gibi günlük tuzaklar, karmaşık saldırılardan çok daha fazla zarara neden oluyor.
Güçlü 2FA, dikkatli imzalama, sıcak/soğuk cüzdan ayrımı ve temiz cihaz kullanımı riski büyük ölçüde azaltıyor.
İptal araçları, destek bağlantıları ve raporlama portallarıyla oluşturulan bir kurtarma planı, hataları felakete değil sadece bir gerilemeye dönüştürebiliyor.
Kripto hırsızlıkları artmaya devam ediyor. 2025’in yalnızca ilk yarısında güvenlik firmaları 300’den fazla olayda toplam 2,4 milyar dolardan fazla çalındığını kaydetti ve bu miktar 2024’ün toplam hırsızlıklarını şimdiden geçti.
Kuzey Koreli gruplara atfedilen Bybit saldırısı rakamları yukarı çekti, ancak dikkat yalnızca buna verilmemeli.
Günlük kayıpların çoğu hala basit tuzaklardan geliyor: kimlik avı bağlantıları, kötü niyetli cüzdan izinleri, SIM değişimleri ve sahte “destek” hesapları. İyi haber şu ki, güvenliği artırmak için siber güvenlik uzmanı olmanıza gerek yok. Birkaç temel alışkanlık (dakikalar içinde ayarlanabilecek türden) riski büyük ölçüde azaltabilir. İşte 2025’te en çok önem taşıyan yedi tanesi:
1. SMS’i bırakın: Her yerde kimlik avına dayanıklı 2FA kullanın
Hesaplarınızı korumak için hala SMS kodlarına güveniyorsanız, kendinizi savunmasız bırakıyorsunuz.
SIM değiştirme saldırıları, suçluların cüzdanları boşaltmasının en yaygın yollarından biri olmaya devam ediyor ve savcılar bu yöntemle bağlantılı milyonlarca dolara el koymayı sürdürüyor.
Daha güvenli adım, kimlik avına dayanıklı iki faktörlü kimlik doğrulama (2FA) yöntemleri (donanım güvenlik anahtarları veya platform geçiş anahtarları gibi) kullanmaktır.
İlk olarak en kritik girişlerinizi güvene alın: e-posta, borsalar ve parola yöneticiniz.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu yöntemi özellikle vurguluyor çünkü kimlik avı tuzaklarını ve daha zayıf çok faktörlü kimlik doğrulama biçimlerini aşan “push-fatigue” dolandırıcılıklarını engelliyor.
Uzun, benzersiz parolalarla eşleştirin (uzunluk karmaşıklıktan önemlidir), yedekleme kodlarını çevrimdışı saklayın ve borsalarda çekim beyaz liste özelliğini etkinleştirin, böylece fonlar yalnızca sizin kontrol ettiğiniz adreslere gidebilir.
Biliyor muydunuz? Kripto kullanıcılarını hedefleyen kimlik avı saldırıları 2025’in ilk yarısında yüzde 40 arttı ve sahte borsa siteleri başlıca vektör oldu.
2. İmza hijyeni: Drenaj ve zararlı izinleri durdurun
Çoğu kişi fonlarını gelişmiş saldırılarla değil, tek bir hatalı imzayla kaybeder.
Cüzdan boşaltıcılar, size sınırsız izinler vermenizi veya yanıltıcı işlemleri onaylamanızı sağlayarak kandırır. Bir kez imzaladığınızda, bir daha sormadan fonlarınızı tekrar tekrar çekebilirler.
En iyi savunma yavaşlamaktır: Her imza isteğini dikkatle okuyun, özellikle “setApprovalForAll”, “Permit/Permit2” veya sınırsız “approve” ifadeleri görüyorsanız.
Yeni merkeziyetsiz uygulamaları (DApp) denerken mint veya riskli etkileşimler için yakıcı (burner) bir cüzdan kullanın ve ana varlıklarınızı ayrı bir kasada tutun. Kullanılmayan izinleri Revoke.cash gibi araçlarla periyodik olarak iptal edin. Basittir ve küçük gas ücreti buna değerdir.
Araştırmacılar, özellikle mobilde boşaltıcı kaynaklı hırsızlıkların keskin şekilde arttığını bildiriyor. İyi imzalama alışkanlıkları bu zinciri başlamadan kırar.
3. Sıcak ve soğuk cüzdan: Harcama ve tasarrufları ayırın
Cüzdanları, banka hesapları gibi düşünün.
Sıcak cüzdan, uygulamalarla etkileşim ve harcamalar için uygundur.
Donanım veya çoklu imza (multisig) cüzdan ise uzun vadeli, güvenli depolama için kasadır.
Özel anahtarlarınızı çevrimdışı tutmak, kötü amaçlı yazılımlara ve zararlı sitelere karşı neredeyse tüm riski ortadan kaldırır.
Uzun vadeli tasarruflar için tohum ifadenizi kâğıt veya çelik üzerine yazın: Telefon, bilgisayar veya bulut servisinde asla saklamayın.
Kurtarma kurulumunuzu küçük bir test transferiyle doğrulayın. Ek güvenlik konusunda kendinize güveniyorsanız bir BIP-39 parola eklemeyi düşünün, ancak kaybederseniz erişimi sonsuza kadar kaybedersiniz.
Büyük bakiyeler veya ortak hazineler için çoklu imza cüzdanlar, her işlem öncesi iki veya üç farklı cihazdan imza gerektirir, bu da hırsızlığı veya izinsiz erişimi çok daha zor hale getirir.
Biliyor muydunuz? 2024’te özel anahtar ihlalleri tüm çalınan kripto fonlarının yüzde 43,8’ini oluşturdu.
4. Cihaz ve tarayıcı hijyeni
Cihazınızın kurulumu cüzdanınız kadar önemlidir.
Güncellemeler, saldırganların kullandığı açıkları kapatır; bu nedenle işletim sisteminiz, tarayıcınız ve cüzdan uygulamalarınız için otomatik güncellemeleri etkinleştirin ve gerektiğinde yeniden başlatın.
Tarayıcı eklentilerini minimumda tutun. Birçok yüksek profilli hırsızlık, ele geçirilmiş veya kötü amaçlı eklentilerden kaynaklandı. Yalnızca kripto işlemleri için özel bir tarayıcı veya profil kullanmak, çerezlerin, oturumların ve girişlerin günlük gezinmeye sızmasını önlemeye yardımcı olur.
Donanım cüzdanı kullanıcıları için “blind signing” varsayılan olarak devre dışı bırakılmalıdır: Bu özellik işlem ayrıntılarını gizler ve kandırılırsanız gereksiz risk yaratır.
Mümkün olduğunda, hassas işlemleri çok sayıda uygulamayla dolu bir telefondan ziyade temiz bir masaüstünde gerçekleştirin. Minimum, güncel ve olası saldırı yüzeylerini azaltılmış bir kurulum hedefleyin.
5. Göndermeden önce doğrulayın: Adresler, ağlar, sözleşmeler
Kripto kaybetmenin en kolay yolu, yanlış yere göndermektir. Gönder düğmesine basmadan önce alıcı adresini ve ağı her zaman iki kez kontrol edin.
İlk transferlerde küçük bir test ödemesi yapın (ekstra ücret, güvenceye değer). Token veya NFT gönderirken, doğru sözleşmeye sahip olduğunuzdan emin olmak için projenin resmi sitesini, CoinGecko gibi güvenilir kaynakları ve Etherscan gibi explorer’ları kontrol edin.
Etkileşime geçmeden önce doğrulanmış kod veya sahiplik rozetlerini arayın. Cüzdan adresini asla elle yazmayın. Her zaman kopyala-yapıştır yöntemiyle girin ve ilk ile son karakterleri kontrol edin.
“Airdrop claim” sitelerine özellikle dikkat edin. Alışılmadık izinler veya zincirler arası işlemler istiyorlarsa, durup doğrulama yapın. Şüpheli izinler verdiyseniz, işlem yapmadan önce hemen iptal edin.
6. Sosyal mühendislik savunması: Romantik dolandırıcılıklar, “görevler”, kimlik sahtekarlığı
En büyük kripto dolandırıcılıkları genellikle kodla değil, insanlarla yapılır.
Romantik veya “pig-butchering” dolandırıcılıkları sahte ilişkiler kurar, sahte kârlar gösteren sahte işlem panelleriyle kurbanları kandırır ve daha fazla yatırım yapmaları için baskı uygular.
İş ilanı dolandırıcılıkları WhatsApp veya Telegram’da dostça mesajlarla başlar, küçük görevler ve ödemeler teklif eder, ardından para yatırma tuzağına dönüşür. “Destek personeli” gibi davranan dolandırıcılar ekran paylaşımı isteyebilir veya tohum ifadenizi açıklamanız için sizi kandırabilir.
İşaret hep aynıdır: Gerçek destek asla özel anahtarlarınızı istemez, sizi benzer bir siteye yönlendirmez veya Bitcoin ATM’leri ya da hediye kartlarıyla ödeme talep etmez. Bu uyarı işaretlerini fark ettiğiniz anda iletişimi kesin.
Biliyor muydunuz? 2024’te “pig-butchering” dolandırıcılıklarına yapılan para yatırma sayısı yıllık bazda yaklaşık yüzde 210 arttı, ancak ortalama işlem miktarı düştü.
7. Kurtarma hazırlığı: Hataları telafi edilebilir hale getirin
En dikkatli kişiler bile hata yapabilir. Felaketle sonuçlanıp sonuçlanmaması hazırlığınıza bağlıdır.
Kısa bir çevrimdışı “acil durum kartı” hazırlayın: doğrulanmış borsa destek bağlantıları, güvenilir bir iptal aracı ve Federal Ticaret Komisyonu (FTC) veya FBI’ın İnternet Suç Şikayet Merkezi (IC3) gibi resmi raporlama portalları dahil olsun.
Bir şey ters giderse, raporlarınıza işlem hash’leri, cüzdan adresleri, miktarlar, zaman damgaları ve ekran görüntüleri ekleyin. Soruşturmacılar genellikle bu detaylar üzerinden farklı vakaları birbirine bağlar.
Fonlar hemen kurtarılmayabilir, ancak planınızın olması tam kaybı yönetilebilir bir hataya dönüştürür.
En kötü senaryo: Ne yapmalı?
Kötü amaçlı bir bağlantıya tıkladıysanız veya yanlışlıkla fon gönderdiyseniz, hızlı hareket edin.
Kalan varlıklarınızı tamamen kontrol ettiğiniz yeni bir cüzdana aktarın, ardından eski izinleri Etherscan’in Token Approval Checker veya Revoke.cash gibi güvenilir araçlarla iptal edin.
Parolalarınızı değiştirin, kimlik avına dayanıklı 2FA’ya geçin, diğer oturumlardan çıkış yapın ve e-postanızda sizin oluşturmadığınız yönlendirme veya filtre kuralları olup olmadığını kontrol edin.
Sonra konuyu büyütün: Borsanızla iletişime geçerek hedef adresleri bildirin ve IC3 veya yerel düzenleyiciye rapor gönderin.
İşlem hash’lerini, cüzdan adreslerini, zaman damgalarını ve ekran görüntülerini ekleyin; bu ayrıntılar, kurtarma uzun sürse bile davaların bağlantılandırılmasına yardımcı olur.
Genel ders basittir: Yedi alışkanlık (güçlü MFA, dikkatli imzalama, sıcak ve soğuk cüzdan ayrımı, temiz cihaz kullanımı, göndermeden önce doğrulama, sosyal mühendisliğe karşı dikkat ve bir kurtarma planı) çoğu günlük kripto tehdidini engeller.
Küçük başlayın: 2FA’nızı yükseltin ve imzalama alışkanlıklarınızı bugün sıkılaştırın, ardından üzerine inşa edin. Az miktarda hazırlık, 2025’in ilerleyen dönemlerinde sizi yıkıcı kayıplardan koruyabilir.
Bu makale yatırım tavsiyesi veya öneri içermez. Her yatırım ve işlem hamlesi risk taşır ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.