Eğer web3'te beş dakikadan fazla kaldıysanız, ya dolandırıldınız ya da dolandırılmanın eşiğindesiniz ya da bir kötü tıklama ile bu kulübe katılmaktan bir adım uzaktasınız. Başlıkları süsleyen büyük dolandırıcılıkları geçin. Gerçek olmayan ama gerçek gibi görünen sahte MetaMask açılır pencereleri, güvenilir görünmeyen merkeziyetsiz borsa takas bağlantıları veya Google'ın arama sonuçlarınızın en üstüne çıkardığı rastgele köprü sayfaları gibi sıradan şeyleri düşünün.

Özet

• Dolandırıcılıklar patlama yapıyor — kripto dolandırıcılığı 2024'te en az 9.9 milyar dolara ulaştı ve giderek daha sofistike oltalama ve sahte DeFi siteleri, uzman kullanıcıların bile güvenini zayıflatıyor.
• Güvenlik isteğe bağlı olarak ele alınıyor — mevcut araçlara rağmen, oltalama koruması temel altyapıya entegre edilmemiş, bu da benimsemenin güvenlik endişeleri nedeniyle duraklamasına neden oluyor.
• Kuantum riski belirmekte — 2030 yılına kadar sistemlerin post-kuantum kriptografiyi benimsemesi gerekecek; aksi takdirde, oltalama ile birleştiğinde, web3 bir güvenilirlik kriziyle karşı karşıya kalacak.
• Sektör eylemi için aciliyet — güvenlik, ölçeklendirme veya DeFi getirileri gibi öncelikli hale getirilmelidir, aksi takdirde gelecekteki milyar dolarlık saldırılar, düzeltmeleri çok geç zorlayacaktır.

2024'te, kripto dolandırıcılıkları en az 9.9 milyar dolar yasadışı gelir üretti ve Chainalysis, daha fazla veri geldikçe toplamın rekor seviyede 12.4 milyar dolara ulaşabileceği konusunda uyarıyor. Sektördeki dolandırıcılık daha keskin hale geliyor; dolandırıcılar daha ikna edici phishing siteleri, sahte merkeziyetsiz finans platformları ve sosyal mühendislik taktikleri kullanıyor. Bu karmaşıklık, tespiti daha zor hale getiriyor ve kayıpları artırarak kullanıcı güvenini zayıflatıyor. Hatta deneyimli yatırımcılar bile yakalanıyor.

Ve yine de, daha geniş kripto topluluğu bunu genellikle iş yapmanın maliyeti olarak görüyor ki bu delilik. Online bankacılığa her giriş yaptığınızda, sahte bir site olma ihtimalinin onda bir olduğunu hayal edin. İnsanlar isyan ederdi. Ancak web3'te bu duruma kayıtsız kalıyorlar; insanlar "güvende kal, anon" diye tweet atıyor ve en iyisini umuyorlar.

Bu düzeltilebilir bir sorun

Phishing sitelerini, sahte akıllı sözleşmeleri ve kötü niyetli köprüleri etkileşimde bulunmadan önce tespit etmek için teknoloji zaten mevcut. Sorun, bunun bir çekirdek parçası olarak değil, isteğe bağlı bir ek olarak ele alınmasıdır. İnsanlar, meşru bir borsa arayüzü gibi görünen yerlerde token takası yaparken haftada binlerce dolar kaybediyor. Onları kurtaran tek şey, genellikle sayfaya "Onayla" butonuna basmadan birkaç saniye önce uyarı yapan tarayıcı tabanlı bir güvenlik aracıdır.

Phishing'i kişisel güvenlik sorunu olarak çerçevelemek, daha geniş pazardaki etkisini büyük ölçüde küçümsemektir. Perakende benimsemesi, teknoloji yeterince ölçeklenebilir olmadığı için durmaz. İnsanların paralarının güvende olduğuna güvenmemesi nedeniyle durur. Bazıları güvenlik katmanlarının sadece merkezi hata noktaları olduğunu savunsa da, altyapı sağlayıcılarına, indeksleyicilere, uzaktan prosedür çağrısı düğümlerine, cüzdanlara ve diğer birçok darboğaza zaten önemli bir bağımlılık vardır. Güçlü phishing koruması eklemenin bir şekilde etik anlayışını tehlikeye attığını iddia etmek, yüksek riskler göz önüne alındığında zayıf bir mazerettir.

Kuantum bilgisayarları zaman bombası

Çoğu insanın yeterince düşünmediği başka bir sorun daha var: post-kuantum güvenliği. ABD hükümeti, tüm sistemlerin 2030 yılına kadar post-kuantum kriptografiye geçmesi gerektiği için son tarihler belirledi ve eski algoritmaların tamamen 2035 yılına kadar aşamalı olarak ortadan kaldırılması gerekiyor, bu da dışarıdaki birçok blockchain altyapısının ödünç alınmış bir süre yaşadığı anlamına geliyor. Bunun yanı sıra kontrolsüz kimlik avı saldırıları ile birleştiğinde, güven çöküşü için mükemmel bir fırtına yaratıyorsunuz. Web3, sahte linklere milyarlar kaybetmeye devam ederse post-kuantum dünyasında ciddiye alınmayacak.

En büyük bahane, kullanıcıların sadece daha dikkatli olması gerektiğidir. Yayalar yola çıkmadan önce her iki tarafa da bakmalıdır, ancak hâlâ bir nedeni olan trafik ışıklarımız var. Her yeni cüzdan sahibinin bir oltalama bağlantısını anında tanımasını beklemek gerçekçi değil, özellikle dolandırıcılar meşru platformları taklit etmede daha iyi hale geliyor. Ölçeklenebilirlik, bileşenlik ve köprü likiditesi üzerinde yıllarca takıntılı bir şekilde çalıştık. Bu arada, en büyük kullanıcı şikayeti hâlâ: “Paralarımı kaybettim.”

Bahisler insanların düşündüğünden daha yüksek

Kripto yerel dolandırıcılıklar, orijinal sınırlarının çok ötesine sızıyor. Artık yalnızca borsalar veya gösterişli DeFi protokolleri ile sınırlı değiller; yan endüstrilere istikrarlı bir şekilde sızıyor ve tüm ekosistemler boyunca güveni aşındırıyorlar. Köprüler ve doğrulayıcılar belirgin hedefler olmaya devam ediyor, ancak bunlar tek başına değiller. Telekom sağlayıcıları, enerji işletmecileri, Nesnelerin İnterneti üreticileri, tedarik zincirleri ve hatta blok zinciri tabanlı bileşenlerle etkileşimde bulunan savunma sistemleri şimdi potansiyel giriş noktaları. Her yeni entegrasyon, bir başka ihlal yüzeyi, saldırganların istismar etmesi için bir başka açılım ve kamu güvenini zayıflatan bir başka risk çarpanı yaratıyor.

Eğer bir proje lideriyseniz, iki rahatsız edici gerçek ile yüzleşiyorsunuz. İlk olarak, kuantum dirençli güvenlik uzak bir akademik hedef değil; on yıl içinde zorunlu bir düzenleyici gereklilik haline gelme yolunda hızla ilerliyor. İkincisi, o son tarihe kadar her yüksek profilli oltalama saldırısı veya kimlik bilgisi toplama kampanyası, kullanıcı tabanınızı, güvenilirliğinizi ve kilitli toplam değerinizi azaltıyor, bu zarar zamanla sessizce birikiyor ve önlemekten çok daha zor olan bir şeyi yeniden inşa etmek için daha fazla çaba gerektiriyor.

Artık güvenlik mimarisine, verim çiftçiliği, benzersiz token basımları ve çoklu zincir likiditesine harcanan aynı miktarda yeniliği, fonlamayı ve durmaksızın iterasyonu yönlendirme zamanı. Web3, oltalama sorununu sadece "kullanıcı hatası" problemi olarak görmeye devam ederken, kendisini finans ve veri altyapısının geleceği olarak güvenilir bir şekilde adlandıramaz. Bir noktada, ekosistemin sahiplenmesi gerekiyor.

Geriye dönüp baktığımızda, endüstrinin bu kadar belirgin zayıflıklara neden bu kadar uzun süre tahammül ettiğini ve neden ölçekli olarak kimlik avına daha önce müdahale etmediğini kendimize neredeyse kesinlikle soracağız. Cesaret verici olan kısım, bu sorunun doğru önceliklendirme ve tasarım seçimleri ile çözülebilir olmasıdır. Tek gerçek soru, endüstrinin şimdi inisiyatif alıp almayacağı ya da bir sonraki milyar dolarlık hackin elini zorlamasını bekleyip beklemeyeceğidir.

David Carvalho

David Carvalho, Naoris Protocol'ün kurucusu, CEO'su ve Baş Bilimcisi, post-kuantum blok zinciri ve dağıtılmış AI ile güçlendirilmiş dünyanın ilk merkeziyetsiz güvenlik çözümünün sahibi olup, Tim Draper ve NATO'nun Eski İstihbarat Şefi tarafından desteklenmektedir. 20 yılı aşkın bir süredir Küresel Bilgi Güvenliği Sorumlusu ve etik hacker olarak deneyime sahip olan David, Avrupa ve Birleşik Krallık'taki çok uluslu milyar dolarlık organizasyonlarda hem teknik hem de C-suite seviyelerinde çalışmıştır. NATO bünyesindeki ulus devletler ve kritik altyapılar için güvenilir bir danışmandır, siber savaş, siber terörizm ve siber casusluk konularına odaklanmaktadır. 2013'ten beri bir blok zinciri öncüsü olan David, PoS/PoW madenciliği ve yeni nesil siber güvenlikte yeniliklere katkıda bulunmuştur. Çalışmaları, risk azaltma, etik zenginlik yaratma ve kripto, otomasyon ve Dağıtılmış AI'da değer odaklı ilerlemeleri vurgulamaktadır.