Certora, Coinbase'in Mayıs Ayındaki Veri Sızıntısını Nasıl Önleyebileceğini Tartışıyor

Coinbase’in Mayıs 2025 veri sızıntısı, kripto’nun en korkutucu istismarlarının her zaman belirsiz bir DeFi uygulamasının kodunda gerçekleşmediğini keskin bir şekilde hatırlattı. 

Sosyal mühendislik, programlama mantığındaki soğuk ve hesaplı hack'lerden farklı olarak, en insani zaaflarımızdan yararlanır ve hain aktörler milyonlarca dolar çalmak için korku ve kafa karışıklığımızla oynar.

Önde gelen bir blok zinciri güvenlik firması olan Certora, merkezi borsaların kullanıcılarını korumak için daha fazlasını yapması gerektiğini savunuyor. Certora, yakın tarihli bir raporda güvenli OpSec uygulamalarının önemini özetliyor ve Coinbase'in Mayıs Veri Sızıntısının ilk etapta gerçekleşmesini nasıl önleyebileceğini öneriyor.

Coinbase’in Mayıs Ayındaki Veri Sızıntısı 69 Bin Kullanıcıyı Riske Attı

Mayıs 2025'te suçlular bir grup Coinbase’in offshore yüklenicisine rüşvet vererek pasaportlar, banka tanımlayıcıları ve maskelenmiş sosyal güvenlik numaraları gibi son derece hassas müşteri verilerini ele geçirdi. 

Coinbase’in ilk açıklamasında, sızıntının aylık işlem yapan kullanıcılarının %1'inden daha azını etkilediği belirtilmişti. Maine Başsavcılığı’na göre, düzenleyici raporlama belgeleri, olayın 69.641 kadar kişiyi sosyal mühendislik saldırıları riski altına soktuğunu doğrulamaktadır.

Dikkat çekici bir şekilde, raporlar hassas verilerin Aralık 2024 gibi erken bir tarihte sızdırıldığını göstermektedir. İhlalin 11 Mayıs 2025'te keşfedilmesinden önce neden olmuş olabileceği zararın boyutunu bilmek imkansızdır. Coinbase o zamandan beri suçlular tarafından hedef alınan ve para kaybeden müşterilerin tamamını etkiledi.

Kendinizi bir kripto uzmanı olarak görseniz bile, veri sızıntılarının yol açabileceği zararlara karşı bağışıklığınız yok. Solana Labs kurucu ortağı Raj Gokal muhtemelen bir sosyal mühendislik dolandırıcılığı tarafından kandırılmadı, ancak kişisel bilgilerinin internette paylaşılmasından kesinlikle hoşlanmadı.

What Coinbase Should’ve Done

Önde gelen bir blockchain güvenlik firması olan Certora, sosyal mühendisliğin kötü niyetli aktörler için mevcut en kolay saldırı vektörlerinden biri olduğunu öne sürüyor. Tecrübesiz ancak kripto meraklısı demografik grup, deneyimli dolandırıcılar için düşük asılı meyvedir. Birini Coinbase çalışanı olduğunuza ve “hesaplarını güvence altına almalarına ”yardımcı”olduğunuza ikna edebilecekken neden savaşta sertleştirilmiş, denetlenmiş protokollerde çatlaklar bulmaya çalışasınız?

Yatırımcılar kendilerini belirli bir seviyeye kadar eğitmekten sorumlu olsalar da, Certora borsaların oyunlarını geliştirmeleri ve “kötü niyetli olsun ya da olmasın, savunmasız içeridekilerin tehlikeye açık olduğu gerçeğini hesaba katmaları gerektiğini ”

savunuyor.

Certora, Sıfır Güven Mimarisi ya da ZTA olarak adlandırılan OpSec hareketinin artan ivmesini destekliyor. Basitçe söylemek gerekirse, ZTA ekiplerin “şirket ağına” güvenli bir baloncuk olarak güvenmeyi bırakmalarını gerektirir. Uzaktan çalışma, bulut uygulamaları ve sahte kimlik avı bu güvenlik çeperini gözenekli ve güvensiz hale getirmektedir

.

Borsalar, çalışanlarının OpSec hatalarına karşı savunmasız olduğunu fark etmeli ve her hassas kaynağı kendi erişim kuralları ve kontrolleriyle kilitlemelidir. Her istek doğrulanır ve yalnızca gereken mutlak minimum miktarda veri verilir. Bu şekilde, güvenliği ihlal edilmiş tek bir hesap dolaşamaz veya daha geniş hasara neden olamaz

.

Certora, Coinbase örneğine geri dönerek, denizaşırı yüklenicilere verilen erişim yetkileri ve hassas veri görünürlüğü hakkında geçerli bir noktayı gündeme getirmektedir. Bir müşteri destek temsilcisinin, maskelenmiş sosyal güvenlik numaraları ve kapsamlı hesap geçmişi bir yana, bir kullanıcının pasaportuna erişmesi için hiçbir neden yoktur.

Kendinizi Sosyal Mühendislik Saldırılarından Nasıl Korursunuz

Coinbase bu olayda açıkça çuvallamış olsa da, bireylerin kendilerini güvenlik uygulamaları konusunda eğitmeleri şiddetle tavsiye edilmektedir. Yatırımcılar kendi kendilerini saklama ihtimalinden korksalar bile, varlıklarını merkezi borsalarda saklayanlar yine de birkaç altın, çiğnenemez kuraldan faydalanacaktır:

• Gelen iletişime güvenmeyin - Hiçbir borsa sizinle iletişime geçip parolanızı, 2FA kodlarınızı veya tohum cümlenizi istemez. Bu bilgileri isteyen herkesin kötü niyetli olduğunu varsayalım.

• Para çekme izin listesi ayarlayın - Para çekme işlemlerini yalnızca kontrol ettiğiniz belirli adresler için etkinleştirin ve varsayılan olarak diğerlerini engelleyin.

• Belirlenmiş kripto hesapları kullanın - Tüm kripto faaliyetleri için benzersiz bir e-posta ve iletişim numarası kullanın. Bu, saldırı vektörlerinin yüzey alanını azaltır ve bilgisayar korsanları spear-phish yapmak veya sizi taklit etmek için yeterli veriyi kolayca bir araya getiremez.

• Çekme limitleri belirleyin - Hesabınız ele geçirilirse, bu, bilgisayar korsanlarının varlıklarınızı bir çırpıda çalmasını önlemeye yardımcı olacaktır. Birkaç saat bile her şeyi kaybetmek ile hesabınızı zamanında kilitlemek arasındaki fark olabilir.

Kripto’nun 2025 yılındaki verimli büyümesi ve benimsenmesi sektör için büyük fayda sağlıyor. Ne yazık ki, milyonlarca yeni kullanıcı ve yatırımcının akını, kötü niyetli aktörler için ağız sulandıran bir olasılıktır. Borsaların kullanıcıları korumak için oyunlarını yükseltmeleri gerekiyor, aksi takdirde sektör Coinbase’in son gafı gibi güvenlik sızıntılarının neden olduğu itibar hasarının üstesinden asla gelemeyecek. 

.

SolanaFloor hakkında daha fazlasını okuyun

Prop AMM'ler Solana DeFi'yi domine ediyor

HumidiFi, İşlem Hacmine Göre Solana’nın En Büyük DEX'i Oldu

Crypto Security Essentials