Kripto güvenlik uzmanları, önümüzdeki yıl kripto alanındaki istismarların çoğunun favori protokolünüzdeki bir sıfır gün hatasından kaynaklanmayacağını söylüyor. Bunun nedeni siz olacaksınız.
Bunun nedeni, 2025’in çoğu siber saldırının kötü amaçlı kodla başlamadığını, bir sohbetle başladığını göstermesi, kripto borsası Kraken’in baş güvenlik sorumlusu Nick Percoco’nun Cointelegraph’a söylediğine göre.
“Saldırganlar içeri girmiyor, içeri davet ediliyorlar.”
Ocak ayından aralık başına kadar 2025’te Chainalysis verilerine göre kripto sektörü 3,4 milyar doların üzerinde hırsızlığa tanık oldu ve şubat ayında Bybit’in ele geçirilmesi bu toplamın neredeyse yarısını oluşturdu.
Saldırı sırasında kötü niyetli aktörler sosyal mühendislik yoluyla erişim sağladı, işlem ayrıntılarını değiştirmelerine ve fonları sızdırmalarına olanak tanıyan kötü amaçlı bir JavaScript yükü enjekte etti.
Sosyal mühendislik nedir?
Sosyal mühendislik, insanları gizli bilgileri ifşa etmeye veya güvenliği tehlikeye atan eylemleri gerçekleştirmeye yönlendiren bir siber saldırı yöntemidir.
Percoco, kripto güvenliği için savaş alanının siber uzayda değil, zihinde olacağını söyledi.
“Güvenlik artık daha yüksek duvarlar inşa etmekle ilgili değil, manipülasyonu tanıyacak şekilde zihni eğitmekle ilgili. Hedef basit olmalı: Birisi içerideymiş gibi konuştuğu veya panik aşıladığı için kalenin anahtarlarını teslim etmeyin.”
İpucu 1: Mümkün olan yerlerde otomasyon kullanın
Percoco’ya göre tedarik zinciri ele geçirmeleri de bu yıl kilit bir zorluk olduğunu kanıtladı çünkü görünüşte küçük bir ihlal daha sonra yıkıcı olabilir, çünkü “bu dijital bir Jenga kulesi ve her bir bloğun bütünlüğü önemlidir.”
Önümüzdeki yıl için Percoco, mümkün olan yerlerde savunmaları otomatikleştirmek ve her dijital etkileşimi kimlik doğrulama yoluyla doğrulamak gibi eylemlerle insan güven noktalarını azaltmayı ve “reaktif savunmadan proaktif önlemeye geçişi” öneriyor.
“Kripto güvenliğinin geleceği daha akıllı kimlik doğrulama ve yapay zeka odaklı tehdit tespitiyle şekillenecek. Sistemlerin, kullanıcı veya eğitimli güvenlik analistleri bir şeylerin yanlış olduğunu fark etmeden önce anormal davranışı tanıyabildiği bir döneme giriyoruz.”
“Özellikle kriptoda en zayıf halka hala açgözlülük ve FOMO ile güçlenen insan güvenidir. Saldırganların her seferinde istismar ettiği çatlak budur. Ancak hiçbir teknoloji iyi alışkanlıkların yerini tutmaz,” diye ekledi.
İpucu 2: Altyapıyı silolara ayırın
SlowMist’ten güvenlik operasyonları lideri Lisa, kötü niyetli aktörlerin bu yıl geliştirici ekosistemlerini giderek daha fazla hedef aldığını ve bunun, bulut kimlik bilgisi sızıntılarıyla birleştiğinde kötü amaçlı kod enjekte etmek, sırları çalmak ve yazılım güncellemelerini zehirlemek için fırsatlar yarattığını söyledi.
“Geliştiriciler bu riskleri bağımlılık sürümlerini sabitleyerek, paket bütünlüğünü doğrulayarak, derleme ortamlarını izole ederek ve dağıtımdan önce güncellemeleri gözden geçirerek azaltabilir,” dedi.
2026’ya girerken Lisa, en önemli tehditlerin muhtemelen giderek daha sofistike hale gelen kimlik bilgisi hırsızlığı ve sosyal mühendislik operasyonlarından kaynaklanacağını öngörüyor.
“Tehdit aktörleri zaten yapay zeka tarafından üretilen deepfake’leri, hedefe özel kimlik avını ve hatta cüzdan anahtarları, bulut kimlik bilgileri ve imzalama tokenleri elde etmek için sahte geliştirici işe alım testlerini kullanıyor. Bu saldırılar daha otomatik ve ikna edici hale geliyor ve bu eğilimin devam etmesini bekliyoruz,” dedi.
Güvende kalmak için Lisa’nın kuruluşlara tavsiyesi güçlü erişim kontrolü, anahtar rotasyonu, donanım destekli kimlik doğrulama, altyapı segmentasyonu ve anomali tespiti ile izleme uygulamalarıdır.
Bireyler donanım cüzdanlarına güvenmeli, doğrulanmamış dosyalarla etkileşimden kaçınmalı, kimlikleri bağımsız kanallar üzerinden çapraz kontrol etmeli ve istenmeyen bağlantılara veya indirmelere temkinle yaklaşmalıdır.
İpucu 3: Yapay zeka deepfake’lerine karşı kişi kanıtı
Blockchain siber güvenlik firması Halborn’un kurucu ortağı ve baş teknoloji sorumlusu Steven Walbroehl, yapay zeka ile güçlendirilmiş sosyal mühendisliğin kripto siber korsanlarının oyun planlarında önemli bir rol oynayacağını öngörüyor.
Mart ayında en az üç kripto kurucusu, deepfake kullanan sahte Zoom aramaları yoluyla hassas verileri çalmaya çalışan iddia edilen Kuzey Koreli siber korsanların girişimini engellediklerini bildirdi.
Walbroehl, siber korsanların geleneksel güvenlik farkındalığı eğitimlerini aşan son derece kişiselleştirilmiş, bağlama duyarlı saldırılar oluşturmak için yapay zekayı kullandıkları konusunda uyarıyor.
Buna karşı koymak için tüm kritik iletişimlerde kriptografik kişi kanıtı, biyometrik bağlama sahip donanım tabanlı kimlik doğrulama, normal işlem kalıplarını temel alan anomali tespit sistemleri ve önceden paylaşılan sırlar veya ifadeler kullanan doğrulama protokollerinin uygulanmasını öneriyor.
İpucu 4: Kriptonuzu kendinize saklayın
Bitcoin erken dönem yatırımcısı ve cypherpunk Jameson Lopps’un GitHub listesinin verilerine göre bu yıl kripto sahiplerine yönelik fiziksel saldırılar olan anahtar saldırıları da öne çıkan bir tema oldu ve en az 65 kayıtlı vaka görüldü. 2021’deki son boğa piyasası zirvesi daha önce 36 kayıtlı saldırı ile en kötü yıl olmuştu.
Beau takma adıyla bilinen ve eski bir CIA görevlisi olan bir X kullanıcısı, 2 Aralık tarihli X gönderisinde anahtar saldırılarının hala nispeten nadir olduğunu ancak yine de kripto kullanıcılarının başlangıç olarak servetleri hakkında konuşmamak ve kripto sahipliklerini veya gösterişli yaşam tarzlarını çevrimiçi olarak ifşa etmemek gibi önlemler almalarını önerdi.
Ayrıca ev adresleri gibi özel kişisel bilgileri gizlemek için veri temizleme araçları kullanarak ve güvenlik kameraları ile alarmlar gibi ev savunmalarına yatırım yaparak “zor hedef” haline gelmeyi de öneriyor.
İpucu 5: Kanıtlanmış güvenlik ipuçlarından kısmayın
Robinhood’da baş bilgi güvenliği sorumlusu olarak çalışmış olan güvenlik uzmanı David Schwed, en önemli tavsiyesinin akıllı sözleşmelerden altyapıya kadar tüm yığını kapsayan titiz ve düzenli üçüncü taraf güvenlik denetimleri dahil olmak üzere dikkatli güvenlik uygulamalarını gösteren saygın işletmelere bağlı kalmak olduğunu söyledi.
Ancak teknoloji ne olursa olsun Schwed, kullanıcıların birden fazla hesap için aynı parolayı kullanmaktan kaçınmalarını, çok faktörlü kimlik doğrulama yöntemi olarak bir donanım tokeni kullanmayı tercih etmelerini ve seed ifadesini güvenli bir şekilde şifreleyerek veya çevrimdışı güvenli, fiziksel bir konumda saklayarak korumalarını söyledi.
Ayrıca önemli varlıklar için özel bir donanım cüzdanı kullanmayı ve borsalardaki varlıkları en aza indirmeyi de tavsiye ediyor.
“Güvenlik etkileşim katmanına bağlıdır. Kullanıcılar bir donanım cüzdanını yeni bir web uygulamasına bağlarken aşırı dikkatli kalmalı ve imzalamadan önce donanım cihazının ekranında gösterilen işlem verilerini iyice doğrulamalıdır. Bu, kötü amaçlı sözleşmelerin ‘kör imzalanmasını’ önler,” diye ekledi.
Lisa, en iyi tavsiyelerinin yalnızca resmi yazılımları kullanmak, doğrulanmamış URL’lerle etkileşimden kaçınmak ve fonları sıcak, ılık ve soğuk yapılandırmalar arasında ayırmak olduğunu söyledi.
Sosyal mühendislik ve kimlik avı gibi dolandırıcılıkların artan karmaşıklığına karşı Kraken’den Percoco, her zaman “radikal şüphecilik” öneriyor, özgünlüğü doğrulayarak ve her mesajın farkındalık testi olduğunu varsayarak.
“Ve evrensel bir gerçek hala geçerli: Hiçbir meşru şirket, hizmet veya fırsat sizden asla seed ifadenizi veya giriş bilgilerinizi istemez. İstedikleri an bir dolandırıcıyla konuşuyorsunuz,” diye ekledi.
Bu arada Walbroehl, kriptografik olarak güvenli rastgele sayı üreteçleri kullanarak anahtarlar oluşturmayı, geliştirme ve üretim ortamları arasında sıkı ayrımı, düzenli güvenlik denetimlerini ve düzenli tatbikatlarla olay müdahale planlamasını öneriyor.
