Soğuk ve Sıcak Cüzdan Nedir?
Kripto paralarımı borsada tutmak zorunda mıyım?
1- Kripto paralarımız nerede tutuluyor? (Bu kısımda teknik detaylarına inilmeden kripto paraların temel işleyişi hakkında bilgi verilmektedir)
2- Kripto para işlemi yapılırken arka planda neler oluyor? (Bu kısımda, bir kripto para borsasında hesap açılıp işlem gerçekleştirilmeye başlandığında sistemin nasıl işlediğinden bahsedilmektedir)
3- Kripto paramızı nasıl güvenle saklayabiliriz? (Bu kısımda ise avantaj ve dezavantajları ile kripto paraları saklamak için kullanılabilecek seçeneklerden bahsedilmektedir)
Geçtiğimiz günlerde meydana gelen kripto para borsası (Thodex) dolandırıcılığı ne yazık ki ardında çok sayıda mağdur bıraktı. Mağdurların yanı sıra bu tip olayların -özellikle de kripto para dünyasında- sunulma biçimi, konunun karmaşıklığı ve yetersiz bilgi nedeniyle verdiği bir de “itibar” hasarı var.
Olayın nasıl gerçekleştiğine ilişkin basında ve sosyal medyada çokça bilgi paylaşıldı. Bu yazı ise daha çok kripto paraların işleyişi, benzer bir olaya maruz kalmamak için neler yapılabileceği ve her kripto para yatırımcısının bilmesi gereken temel bazı konuları içeriyor. Konulardan bahsederken genelde Bitcoin üzerinden örneklendirdim ancak diğer kripto paraların işleyişi de genellikle benzer biçimde.
Kripto para borsasının bildiğimiz merkezi kuruluşlarından regülasyon ve denetimi konusundaki belirsizlikler dışında hiçbir farkı yok. Thodex ile şahit olduğumuz dolandırıcılığın kaynağı ve gerçekleşme biçiminin ne blokzincir teknolojisiyle, ne kripto paraların işleyişiyle ne de saadet zinciri (ponzi scheme) ile bir alakası yok. Olay tamamen sizin hesap bilgilerinize sahip olan finans kuruluşunun önce hesaplarınıza erişiminizi engellemesi, sonra da tüm hesapları boşaltması biçiminde gerçekleşen, klasik bir hırsızlık.
Bitcoin’in ilk duyurulduğu yayında Satoshi Nakamoto bu yeni sistemin temel özelliklerinin en başında “Güvenilir bir üçüncü taraf olmaksızın doğrudan işlem yapabilme”yi saymıştı. Bu sistemin en güçlü özelliği tamamen merkezsiz, herhangi bir otorite kontrolünde olmayan, aracısız bir sistem olmasıyken merkezi bir borsa sistemi üzerinden alışverişinin yapılması, bu merkezi aracının kötüye kullanımı ile çok sayıda insanın kripto parasını kaybetmesi bu bağlamda oldukça ironik.
1. Kripto paralarımız nerede tutuluyor?
Kripto para aslında sadece dijital bir kayıt. Herhangi bir fiziksel karşılığı yok. Bir başka ifade ile, kripto para kendi ilgili blokzincir ağında, dağıtık bir kayıt defterine yazılmış olan silinemez, değiştirilemez ve geri döndürülemez bir kayıttan ibaret.
Kripto para borsalarını göz ardı edersek, Bitcoin’e sahip olmak demek, binlerce düğümden oluşan Bitcoin ağındaki her bir düğümde birbirine özdeş biçimde tutulan kayıt defterlerinde, bu Bitcoin’e sahip olduğunuz bilgisinin yer alması anlamına geliyor.
Bu durum kripto para borsalarının kullanılmadığı durumu ifade ediyor. Kripto para borsası üzerinden işlem yapıldığında durum biraz değişiyor. İşlemlere başlamak için borsaya ya kripto para ya da fiyat para aktarmanız gerekiyor. Bu aktarım gerçekleştikten sonra borsa üzerinden gerçekleştirdiğiniz işlemler borsanın kendi içerisinde kalıyor.
Örneğin; herhangi bir borsayı kullanmadan herhangi bir bir şekilde edindiğiniz 10 BTC’yi borsaya aktardığınızda, Bitcoin ağındaki kayıt defterine bu işlem hesaptan çıkış olarak eklenir, 10 BTC artık borsa üzerindeki adresinizle ilişkilendirilir. Daha sonra borsa içerisinde yaptığınız işlemler artık bu küresel Bitcoin ağında madencilik sürecinden geçmez, sadece borsanın kendi içerisinde kaydı tutulur. Bu durumun birçok sakıncası bulunmaktadır. Kullanıcı açısından bakarsak, borsalar kullanıcı ile sadece kripto para adresi olan açık anahtarı (public key) paylaşırlar. Özel ya da gizli anahtar (private key) borsanın kendisinde olduğundan bu kripto parayı istediği gibi kullanabilir. Bu konunun çok detayına girmeyeceğim ama riskleri ve işleyişi anlatan güzel bir yazıyı kaynaklar kısmına ekliyorum (1). Bu riskten kaçınmak için borsadaki kripto paranızı başka bir cüzdana aktarmanız gerekir. Bu konudan da üçüncü başlık altında bahsedeceğim.
Açık Anahtar Nedir?
Açık anahtar aynı zamanda Bitcoin ya da herhangi bir kripto para biriminin adresidir. Bu açık anahtarlı adrese erişim yolunuz da gizli anahtarınızdır. Bunu biraz daha anlaşılır hale getirmek için biraz detaya inmek gerekiyor. İkinci sorumuzun altında bu detaylar yer alıyor. Borsa üzerinden işlem gerçekleştirdiğinizde private(gizli) anahtarınız borsanın yönetimindedir ve kullanıcı ile paylaşılmaz. Private anahtarınızın başkasının elinde olması demek hesabınızın artık sizin kontrolünüzde olmaması demektir.
Borsalar bu gizli anahtarları kullanarak bir usulsüzlük gerçekleştirmese bile, herhangi bir siber saldırı sonucunda bu anahtarların, dolayısı ile kripto varlıklarınızın çalınma riski bulunmaktadır.
Thodex olayında borsanın kullanıcı hesaplarını nasıl kullandığını bu durum net biçimde açıklıyor sanırım.
Burada şunu bir dipnot olarak belirtmekte fayda var: Bitcoin sisteminde (borsa dışı) adresler tek kullanımlıktır. Yani, her işlem için ayrı bir adres kullanılır. Ayrıca, Bitcoin’de kısmi ödeme yoktur. Yani, adresinizdeki 2 Bitcoin’in 1'ini başka bir adrese göndermek istediğinizde adresinizden önce 2 BTC çıkışı olur, daha sonra yaptığınız ödemeden kalan tutar olan 1 BTC farklı bir adresle size geri döner. Unspent Transaction Output (UTXO) olarak ifade edilen bu özellik ile transferlerdeki çıktılar, yeni işlemin girdisi olarak kullanılır ve bu sayede işlemler en başına kadar geriye doğru takip edilebilir. Borsa cüzdanlarında kullanılan adresler ise sabit ve değişmezdir.
Özetle, kripto paralarımız kripto para borsalarında tutulduğunda, yapılan işlemler borsanın kendi içerisinde tutulur. Borsalar dışındaki işlemlerde ise BTC Bitcoin blokzincir ağında, ETH Ethereum blokzincir ağında, XRP Ripple blokzincir ağında işlem görür. Her bir kripto paranın kendi blokzincir ağı yok ama bu konu biraz daha teknik detaya inmeyi gerektiriyor. Şimdilik sanıyorum birkaç örneğini yazdığım önemli kripto paraların kendi blokzincir ağlarının olduğunu, bu ağlarda tutulan kayıt defterlerinin kripto paraların sahiplik ve transfer bilgilerinin saklandığı yer olduğunu bilmek yeterli.
Tüm bu bahsedilenler dışında, kullanımları merkezi kripto para borsalarına göre çok düşük düzeyde olmakla birlikte merkezi borsaların taşıdığı riskleri taşımayan merkeziyetsiz borsalar da (DEX — Decentralized Exchange) var. Güvenlik bakımından büyük avantajları olsa da, bu borsaların da likidite, uzun işlem süreleri gibi farklı dezavantajları bulunmakta. Bu merkeziyetsiz borsaların isimlerine Coinmarketcap’den erişilebilir. Halihazırda bu biçimde listelenen 56 DEX bulunuyor.
Temel Kavramlar
İşleyişi biraz daha net anlamak için temel bazı kavramlar hakkında bilgi sahibi olmak gerekiyor. Çok teknik detayına inmeden bu kavramlardan kısaca bahsetmek istiyorum:
Adres: Kripto para ağında ödeme yapmak ve ödeme almak için kullanılan alfanümerik karakterler bütünüdür. Bankacılık sistemindeki IBAN veya SWIFT numarası ya da hesap numarasına benzemektedir. Adresler yazılımsal olarak, matematiksel işlemlerle yaratılır. Adres, temelinde açık-özel (public-private) anahtar çiftinin public kısmının hash değeridir.
Hash: Değişken bir miktarda veri alan (tek bir karakter ya da binlerce sayfa dolusu karakter olabilir) ve daha kısa, sabit uzunlukta bir çıktı üreten matematik işlemidir. Girdi boyutu ne olursa olsun sabit uzunlukta bir çıktı üretir. Bir çıkarım işlevinin iki önemli özelliği vardır. Öncelikle, çıktıya bakarak, bu orijinal girdinin ne olduğunu anlamak matematiksel olarak çok zordur. İkincisi, girdinin en ufak bir parçasındaki değişiklik bile, tamamen farklı bir çıktı üretecektir (çığ etkisi). Blokzincirde blokları birbirine bağlamakta, işlemlerin doğrulanmasında, madencilik sürecinde kullanılır. Genel kullanım alanları ise dijital imza, kimlik doğrulama, mesaj bütünlüğünün kontrolü, veri bozulmalarının tespiti biçimindedir.
Açık Anahtar Altyapısı (PKI — Public Key Infrastructure): Açık anahtar altyapısında bir açık (public) bir de özel (private) anahtar olmak üzere bir anahtar çifti kullanılır. Public anahtar private anahtarla ilişkili olarak üretilir ancak public anahtar kullanılarak private anahtara erişilemez. Açık anahtarın açığa çıkması özel anahtarı tehlikeye atmaz, ancak özel anahtar gizli tutulmalıdır. Bu teknik sadece güvenli olmayan açık bir ağda güvenli iletişime izin vermekle kalmaz, aynı zamanda dijital imzalar aracılığı ile kimlik doğrulamayı da destekler.
2. Kripto para işlemi yapılırken arka planda neler oluyor?
Borsa üzerinden kripto para alma işleminde aşağıdaki adımlar izlenir:
a. İlk adım XYZ borsasından bir hesap açıp borsanın web arayüzü, masaüstü uygulaması ya da mobil uygulaması üzerinden bir pin kodu oluşturularak bu hesaba erişimin sağlanmasıdır.
b. İkinci adımda işlem yapabilmek için bu borsaya para aktarılması gerekir. Bu aktarım havale, eft ya da kredi kartı üzerinden yapılabilmektedir. Gönderme işleminden sonra para artık borsanın sizinle ilişkilendirdiği hesabınızdadır. Bu hesabın yöneticisi borsadır. Erişiminizi kısıtlayabilir, sunucuyu kapatıp gidebilir, ya da bir saldırı sonucunda şifrenizi (ya da private anahtarınızı) çaldırıp paranızı kaybetmenize neden olabilir. Buraya kadarki işlemler aslında çok da yabancı olmadığımız bankacılık sistemine benzemektedir.
c. Peki kripto para almak istediğimizde? Burada artık yukarıda kısaca bahsettiğim dijital imza ve gizli-açık anahtar kavramları devreye girmektedir. Kripto para borsalarının uygulamalarında “cüzdan” adı verilen bölümde her bir kripto para için adresler oluşturulur. Yani, her bir kripto para farklı adreslere sahiptir. Siz gönderdiğiniz para ile işlem yapıp yeni bir kripto para aldığınızda cüzdanınızdaki ilgili kripto para adresinizle kaydedilir. Bu adresi paylaşarak borsa içerisinden, bir başka borsadan ya da doğrudan Bitcoin vb. ağından kripto para alabilirsiniz. Aynı biçimde, size iletilen bir adresi kullanarak borsadaki cüzdanınız üzerinden transfer gerçekleştirebilirsiniz. Transfer işlemleri aynı kripto para birimleri arasında gerçekleşir. Yani, bir Bitcoin adresine yalnızca başka bir Bitcoin adresinden transfer gerçekleştirilebilir. Bu transfer başka birine olabileceği gibi kendinize ait soğuk bir cüzdan ya da başka bir borsadaki adrese de yapılabilir.
3. Kripto paramızı nasıl güvenle saklayabiliriz?
Yukarıdaki kısımda bahsettiğim biçimde, eğer borsa ile ilgili risklerden kaçınmak ve kendi adresinizi yönetmek istiyorsanız kripto paranızı sadece sizin kontrolünüzde olan daha güvenli bir cüzdana aktarmalısınız.
Kripto para cüzdanı, kripto para birimi işlemleri için açık ve özel anahtarları depolayan bir cihaz, yazılım ya da hizmettir. Borsa üzerinden işlem yapıldığında cüzdan hizmeti borsa tarafından sunulur. Ancak -daha önce de belirttiğim gibi- borsalar özel anahtarı kullanıcı ile paylaşmazlar.
Hemen her kripto paranın kripto para depolama, gönderme ve alma için kendi cüzdanı bulunmaktadır. Ayrıca, birden fazla kripto para için bu işlemleri gerçekleştirebilen cüzdanlar da bulunmaktadır.
Burada yeniden vurgulamak istiyorum; kripto para blokzincir ağında bir kayıttır ve cüzdanda saklanmaz. Cüzdan sadece ilgili blokzincir ile etkileşimi sağlayan bir yazılımdır.
Borsa dışında kullandığınız cüzdan borsadaki kripto para adresinizden farklı bir adrese sahiptir. Borsa cüzdanınız üzerinden bu cüzdanın adresini kullanarak kripto paranızı aynen bir bankadan başka bankaya para transfer eder gibi aktarabilirsiniz. Burada dikkate alınması gereken konulardan biri borsada ne sıklıkta işlem gerçekleştirdiğinizdir. Eğer çok sık işlem gerçekleştiriyorsanız her seferinde harici cüzdanınızdan borsadaki adresinize transfer yapmak zorunda olduğunuzu dikkate almalısınız.
Farklı avantaj ve dezavantajlara sahip temelde iki tip cüzdan bulunmaktadır:
Sıcak cüzdan; İnternete bağlı olan cüzdanlardır. Kullanımı ve erişimi daha kolay, ancak internet erişimine açık olduğu ve hizmet sağlayıcıya bağımlılık içerdiği için güvenlik riskleri taşımaktadır. Sıcak cüzdanlar herhangi bir uygulama indirip kurma ihtiyacı olmayan online cüzdanlar ya da uygulama kurulmasını gerektiren masaüstü ya da mobil cüzdan biçiminde olabilir. Kripto para borsalarında kullanılan cüzdanlar da sıcak cüzdandır. Genellikle ücretsizdir, kripto paraya erişim hızlıdır, kullanımı kolay ve kullanıcı dostudur. Ancak siber saldırı, yasal düzenlemelerden etkilenme ve teknik sorunlar nedeniyle erişememe gibi riskler taşımaktadır.
Soğuk cüzdan (donanımsal): Soğuk cüzdanlar internete bağlı olmayan herhangi bir kripto para birimi cüzdanıdır. En güvenli cüzdan alternatifidir. Ancak çoğu sıcak cüzdan kadar kripto para çeşidini desteklememektedir. Soğuk cüzdanlar ücretlidir. Kullanımı biraz daha güçtür. Hızlı ve düzenli biçimde gerçekleştirilen işlemler için pek uygun değildir. Eğer yüksek miktarda kripto para sahibiyseniz ve çok sık işlem gerçekleştirmiyorsanız güvenlik için mutlaka tercih edilmelidir.
Artık çok fazla kullanılmamakla birlikte, en güvenli yöntemlerden bir diğeri özellikle Bitcoin adresleri için kullanılan basılı kağıt biçimindeki cüzdanlardır. Kağıt ortamında Bitcoin adresi temin etmek için “bitaddress.org” adresinden rastgele bir adres üretip aşağıdaki görüntüdeki gibi QR kodlu adresin çıktısını alarak saklamak yeterli. Bu adres bir defa yaratılıp yok olduğu ve internet ortamında tutulmadığı için çok güvenli ancak bu kağıdın okunabilir biçimde muhafazasının sağlanamaması, kaybedilmesi ve çalınması gibi önemli riskler taşıyor.
Thodex olayı ile gündemde önemli yer tutan kripto para dolandırıcılığı ya da kripto para borsalarına yapılan siber saldırılar aslında pek yeni bir konu değil. 2011 yılındaki Mt. Gox, 2016 yılında Bitfinex ve 2018'de Coincheck’e yapılan saldırılar sonucunda yüzlerce milyon dolarlık kripto para hırsızlığı yaşandı ve bu son birkaç günlük büyük düşüşe rağmen halen 1,8 trilyon dolarlık bir pazara sahip bu piyasada muhtemelen bunları yaşamaya devam edeceğiz.
Ancak bu siber saldırılar ve usulsüzlüklere karşı tamamen elimiz kolumuz bağlı değil. Temel düzeyde bilgi edinip kendi önlemlerimizi alırsak mağduriyet yaşama riskini en aza indirmek çok da zor değil.
Ve son söz olarak, tüm bu olumsuz örnekler aslında bize merkezi sistemlerin risklerini ve blokzincirin ne denli önemli bir teknoloji olduğunu gösteriyor.
Diğer yazılar;
