NFT’ler Ne Kadar Güvenli? Satın Almadan Önce Bilinmesi Gerekenler

NFT’ler yani değiştirilemeyen token’lar (Non-fungible token), son dönemde tüm dünyanın gündeminde. Kısaca başka bir eşi daha bulunmayan dijital varlıkların gerçekliğinin dijital sertifikası olarak tanımlayabileceğimiz NFT’lerin kısa sürede bu kadar ilgi çekmesinin en önemli nedeni kuşkusuz bu formattaki sanat eserleri için ödenen milyon dolarlar. Bol sıfırlı NFT satışlarla ilgili gündemin dönüm noktası ise Beeple olarak tanınan dijital sanatçı Mike Winkelmann’ın NFT olarak üretilen “Everydays: The First 5,000 Days” adlı eserinin jpg formatlı versiyonunun Christie’s adlı ünlü müzayede evinde 694 milyon dolara satılması oldu.

NFT gibi kripto para temelli yeni nesil finansal araçları keşfetmek ve kullanmak, dijital çağa adapte olma adına kıymetli olsa da, işin güvenlik tarafında getireceği risklerin farkında olmak ve bu riskleri azaltacak tedbirleri almak hem kısa hem de uzun vadede önemli.

NFT nedir?

NFT’ler, Bitcoin veya Ethereum gibi kripto para birimleri temelli bir blok zincirinde (Blockchain) depolanan veri parçalarıdır. Bitcoin gibi diğer kripto para birimleri arasındaki fark NFT’lerin benzersiz token’lar olması, kopyalanamaması ve benzersiz olmaları. Peki NFT’ler ne kadar güvenli?

NFT’ler ne kadar güvenli?

Bu konuda kısa bir cevap pek fazla kimseyi tatmin etmeyecektir. Ancak temelde şunu bilmekte fayda var; fiziksel veya dijital, değeri olan herhangi bir varlığı çalmaya çalışan ve o varlık ilgili tehdit oluşturan çok fazla fırsatçı olur. Üstelik bunlar gizli tehdit aktörleri değildir. NFT’ler hala emekleme döneminde olsalar da, popülerliğinin hızla artması ile çoktan bilgisayar korsanlarının radarına girdiler. Bu sadece ileriye dönük bir endişe değil, halihazırda göz ardı edilmemesi gereken bir detay.

Sadece Mart ayı içinde siber saldırganlar, birden fazla Nifty Gateway NFT kullanıcı hesabını ele geçirdiler. Bu saldırganlar hem önceden satın alınmış olan NFT’leri bu kişilerin hesaplarından kendi hesaplarına aktardılar, hem de kayıtlı ödeme kartlarıyla yenilerini satın aldılar. Kullanıcıların cüzdanlarından aktarılan paralar kurtarılırken, saldırganlar tarafından başka alıcılara satılan söz konusu NFT’ler, Gateway gibi platformların NFT ile ilişkili özel anahtarları elinde tutması nedeniyle dramatik bir şekilde geri alınamadı.

E-posta yoluyla kripto para dolandırıcılığı bu alandaki popüler saldırı tiplerinden bir diğeri. Bu segmentteki daha yüksek hacimli bir e-posta dolandırıcılığı ise son zamanlarda kripto para borsası kullanıcılarına hesaplarında şüpheli girişler olduğunu bildiren e-postaların gönderildiği bir çeşit kimlik avı dolandırıcılığı.

Kimlik bilgilerinin çalındığı bu saldırı tipinde kullanıcıya gönderilen e-postanın ekini açması ve hesabında oturum açarak parolasını girmesi gerektiği bildiriliyor. Kullanıcı kendisine söyleneni yaparsa, hesap bilgilerini tehlikeye atmakla kalmıyor eğer iki faktörlü kimlik doğrulama (2FA) etkin değilse saldırgan ilgili hesaba erişmiş oluyor.

2FA hakkında daha fazla bilgi için buraya tıklayabilirsiniz.

Benzer şekilde siber suçlular, NFT platformları üzerinden kullanıcıların kimlik bilgilerini çalmak ya da bilgisayarlarına kötü amaçlı yazılımlar yerleştirmek için saldırılar düzenleyebilir. Örneğin Truva atı saldırıları son derece popüler. Truva atı; siber korsanlara bilgilerinize sizden habersiz ulaşım imkânı sağlar. Ancak siber korsanlar bunu doğrudan yapmaz. Sizin Truva atının içine saklandığı yazılımı çalıştırmanız gerekir. Bu saldırı ile saldırgan bilgisayarına uzaktan erişerek, parolalarına ve diğer pek çok bilgiye erişebilir.

Truva atı ve virüsler hakkında daha fazla bilgi için buraya tıklayabilirsiniz.

Düzenlemeler işe yarayacak mı?

NFT özelindeki hayata geçirilmesi muhtemel bazı güvenlik odaklı düzenlemeler söz konusu olabilir. Ancak bugünden yarına olması pek mümkün görünmüyor. NFT’ler, kripto para birimleri gibi blok zinciri tabanlı teknolojiler olduğu için düzenleme ve denetim eksikliği burada da karşımıza çıkıyor. Bu nedenle, sektörde henüz regülasyon anlamında pek çok boşluk var.

Düzenlemelerin kripto para birimi borsalarını ilgilendiren tarafı, büyük olasılıkla kullanıcıların dijital cüzdan ile ilgili geçmiş işlemlerinin izlenmesi üzerine olacaktır. Bu, geleneksel bankaların şüpheli işlemleri bildirmek için halihazırda kullandığı sistemle hemen hemen aynı. Bu noktada Amerika Birleşik Devletleri’nde, Adalet Bakanlığı ve Mali Suçları Uygulama Ağı, son zamanlarda merkezi olmayan borsalardaki dolandırıcılık faaliyetlerini azaltmak için ciddi çaba harcıyor. Şimdiye kadar, öncelikle şirketlerin müşteri ve işlem verilerini depolaması gereken eşiklere odaklandılar.

Güvenlik konusunda bireysel olarak neler yapılabilir?

1- Kullanıcıların NFT’lerini korumak için yapabilecekleri en önemli şey, iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmektir. Ancak bu konuda farkındalık son derece az. 15 Mart’ta yapılan resmi açıklamaya göre, Nifty Gateway saldırılarından etkilenen kullanıcıların hiçbirinde bu özellik etkinleştirilmedi.

2- 2FA ile birlikte, güçlü bir şifrenin de ne kadar önemli olduğunu tekrar hatırlatmakta fayda var. Yani yeterli uzunlukta ve karmaşıklıkta olan ve diğer hesaplarda kullanılmayan bir şifreniz olmalı. Sadece bu basit adımlar bile siber saldırılardan korunabilmeniz için son derece önemlidir.

3- Kurumsal tarafta ise, çalışanların geçmiş işlem kontrolleri, sürücü şifreleme, hassas iletişimi güvence altına alma, çalışanlar için kullanıcı farkındalığı eğitimi, güvenlik açığı testi, hata ödül programları ve üçüncü taraf sızma testi hizmetleri gibi tipik güvenlik güçlendirme adımları güvenlik konusunda atılacak adımlardan yalnızca bazıları.

Hem kullanıcılar hem de şirketler için, ilgili güvenlik önemlerinin alınarak, dijital varlıkların soğuk (çevrimdışı) depolanması, siber saldırılara karşı en iyi güvenliği sunar. Bununla birlikte, soğuk depolama çözümleri kullanılsa bile, kayıp, hasar veya hırsızlığa karşı korunmak için fiziksel güvenlik de kesinlikle ihmal edilmemelidir.