Blok Zinciri güvenlik uzmanı Zhou Yajin: şifreleme varlıklarını korumanın ana stratejileri ve sektör gelişim trendleri
Sunucu: Alex, profesyonel yatırımcı
Konuk: Zhou Yajin, Blok Zinciri güvenlik şirketi BlockSec CEO'su
Kayıt Zamanı: 2025.3.28
BlockSec'in hizmet kapsamı ve hedef müşterileri
**Alex:**Bu bölümde, hepimizin yakından ilgili olduğu bir konuyu konuşacağız, yani şifreleme dünyasının güvenliği. Gerçek risklerle karşılaşmadan önce, genellikle kendimizi haberlerdeki güvenlik olaylarının kurbanı olmayacağımızı düşünürüz. Varlıklarımız için bir güvenlik duvarı inşa etmek ve güvenli bir ortamda yatırım yapmak, şifreleme yolculuğuna başlamadan önceki zorunlu bir dersimizdir. Bu bölümde, Blok Zinciri güvenlik şirketi BlockSec'ten Zhou Yajin'i davet ettik ve bizimle şifreleme güvenliği konusunu konuşacak. Zhou Hocamız, lütfen bize bir selam verin.
Zhou Yajin: Merhaba, ben Zhou Yajin, şu anda BlockSec'te CEO olarak çalışıyorum, aynı zamanda Zhejiang Üniversitesi'nde siber güvenlik alanında araştırmacıyım, hepinizi tanımaktan çok mutluyum.
Alex: Tamam, bugün konumuza girelim. Sanırım birçok dinleyicinin Blok Zinciri güvenlik şirketleri ve güvenlik hizmetleri hakkında pek fazla bilgisi yok. Lütfen öğretmen Zhou, bize BlockSec'i tanıtır mısınız? Hangi hizmetleri sunuyorsunuz ve hangi tür insanlar, hangi tür kurumlar sizin müşteriniz olabilir?
Zhou Yajin: BlockSec, 2021 yılında kurulan bir Web3 güvenlik şirketidir. Web3 güvenliğinden bahsettiğimizde, akla ilk gelen güvenlik denetimi olabilir. Ancak BlockSec'in iş kapsamı yalnızca güvenlik denetimi ile sınırlı değil; ayrıca bir dizi diğer güvenlik ürünleri ve hizmetleri de sunmaktayız. Daha spesifik olarak, hizmetlerimizi üç ana alana ayırabiliriz. İlk alan, zincir üzerindeki protokollere yönelik güvenliktir. Zincir üzerindeki protokoller, blok zinciri üzerinde bazı DeFi veya NFT veya diğer etkinlikler için dağıtılan akıllı sözleşmelerdir. Bu sözleşmelerin güvenliğini nasıl sağlayabiliriz? BlockSec, güvenli denetim hizmetleri ve güvenli izleme ürünleri sunmaktadır. İkinci olarak, daha çok varlık güvenliği ile ilgileniyoruz. Varlık güvenliği, kullanıcıların sahip olduğu varlıkları ifade eder; örneğin, bu varlıklar kendi sözleşme cüzdanlarında veya bazı zincir üzerindeki protokollere yatırılmış olabilir. Kullanıcı varlıklarının güvenliğini sağlamak da hizmet alanlarımızdan biridir. Üçüncü alan ise uyumluluk ve düzenlemedir. Geleneksel finans kurumlarının Crypto sektörüne girdiğini görüyoruz. Son zamanlarda, Amerika'daki geleneksel bankaların zincir üzerinde bazı stablecoin varlıkları yayımladığını ve Crypto'nun sınır ötesi ödeme sektörüne girdiğini duyabiliyoruz. Bu geleneksel finans kurumlarının sektöre girmesi, düzenleyicilere bir zorluk yaratıyor; düzenleyici kurumlar nasıl denetleyeceklerini bilmiyorlar, bu kurumlar da nasıl uyum sağlayacaklarını bilmiyorlar. Bu nedenle, Crypto sektörüne giren bu oyuncuları denetlemek için düzenleyici kurumlara yardımcı olmakta veya Crypto sektörüne giren bu geleneksel kurumların uyum sağlamalarına yardımcı olmaktayız. İş kapsamımız bu üç alanı kapsamaktadır.
Müşterilerimizin kapsadığı alan oldukça geniş. Aklınıza gelebilecek, zincir üzerinde merkeziyetsiz finans veya diğer bazı hizmet projeleri yapan taraflar, örneğin zincir üzerinde Lending hizmeti sunan platformlar, merkeziyetsiz ticaret platformları, bu projeler bizim müşterilerimizdir. Onlara akıllı sözleşmelerinin zincire dağıtımından önce güvenli denetim yaparak yardımcı olabiliriz, geliştirdikleri akıllı sözleşmelerin güvenlik açıkları olup olmadığını güvenlik perspektifinden inceleyerek kontrol edebiliriz. Eğer güvenlik açığı varsa, zamanında düzeltmeleri gerekir. Ayrıca, protokolleri zincire dağıtıldıktan sonra, onların protokollerinin güvenlik risklerini izlemek için 7×24 saat izleme platformuna sahip olacağız. Herhangi bir güvenlik riski oluştuğunda, platformumuz protokole zamanında bildirimde bulunabilir ve riski ve saldırıları otomatik olarak engelleyebilir. Bu nedenle, zincir üzerinde akıllı sözleşme dağıtan bu geliştiriciler ve projeler, bizim tipik müşterilerimizden bir grubudur. İkinci tip tipik müşteriler, varlık sahibi olanlardır, belki de bazı yüksek net değerli müşteriler, akıllı sözleşme cüzdanlarında bazı varlıkları bulunmaktadır veya bu yüksek net değerli müşteriler zincir üzerindeki bazı protokollere yatırım yapmaktadır. Hizmetlerimiz ve ürünlerimiz, onların yatırım yaptıkları protokollerin güvenliğini daha iyi izlemelerine yardımcı olabilir. Bir madalyonun iki yüzü gibi, protokol proje taraflarının perspektifinden, protokollerin güvenliğini artırmalarına yardımcı olabiliriz. Yüksek net değerli müşterilerin yatırım yaptığı protokollerin güvenliğini izlemelerine de yardımcı olabiliriz. Eğer yatırım yaptığı protokolde bir güvenlik riski olursa, örneğin saldırıya uğrarsa, fonlarını geri çekebilmesi için ilk anda müdahale edebilmesi gerekir. Üçüncü tip müşteriler ise, az önce bahsettiğim denetim ve uyumluluk konusudur. Bu tür müşteriler, esasen bazı denetim kurumlarıdır, örneğin Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu da bizim müşterimizdir, ayrıca yurt dışında bazı icra kurumları da dijital para suçlarıyla ilgili soruşturmalar yaparken bizim araçlarımızı ve platformlarımızı kullanmaları gerekmektedir, böylece kanıt toplama, fon takibi gibi araştırma faaliyetlerini kolayca gerçekleştirebilirler. Bu, genel olarak iş modelimiz ve müşterilerimizin kapsama alanıdır.
Şifreleme güvenliği ile ilgili üç öneri
Alex: Anladım, az önce öğretmen Zhou, müşteri türlerinden, onların ihtiyaçlarından ve genel bir sektör durumundan bahsetti. O halde ikinci soru, bireysel yatırımcılarla daha fazla ilişkilendirilebilir, özellikle dinleyicilerimizin çoğu Web3'e yeni başlayan ve yatırım yapmayı öğrenen kişiler. Eğer çevrenizde yeni bir şifreleme yatırımı alanına girmiş bir arkadaşınız varsa ve sizin şifreleme güvenlik hizmetleriyle ilgilendiğinizi biliyorsa, lütfen ona şifreleme güvenliği hakkında üç öneri verin, bu üç öneri hangi öneriler olurdu?
Zhou Yajin: Bu soru gerçekten çok iyi. Yanımdaki arkadaşlar da sık sık bana bazı güvenlik önerileri soruyorlar, bu sektöre girmek istiyorlar ama birçok kişinin bazı risklerle karşılaştığını duyuyorlar. Şaka yollu bir sözümüz vardı: Eğer Crypto dünyasına girdikten sonra, ne phishing (oltalama) kurbanı olduysanız ne de dolandırıldınızsa, o zaman bu alanda kıdemli bir oyuncu olamazsınız. Tabii ki bu bir şaka ama gerçekten de bu sektörde birçok riskin olduğunu görebilirsiniz. Üç öneri vermek gerekirse, ilki kesinlikle herkesin aklına gelecek olanı, yani özel anahtar koruma ile ilgili. Crypto alanında, bu fonlara sahip olduğunuzu nasıl kanıtlayabilirsiniz, aslında bunu sahip olduğunuz özel anahtar ile hesabınızın mülkiyetini kanıtlayarak yaparsınız. Özel anahtar, bir dizi rakamdır ve bu sizin kişisel kimliğinizle herhangi bir şekilde bağlı değildir. Bu dizi rakam kaybolursa veya sızdırılırsa, başkaları sizinle aynı şekilde kendi fonlarınıza sahip olma kontrolüne sahip olabilir. Bu, gerçek dünyamızdan oldukça farklı. Gerçek dünyada, bankanızın şifresi sızdırılırsa, bankayı arayıp hesabı dondurmasını isteyebilirsiniz, başkalarının para çekmesi mümkün değildir. Ama Crypto dünyasında, eğer özel anahtarınız sızdırılırsa, özel anahtarınıza sahip olan kişi, hesabınızdaki fonları sınırsız bir şekilde alabilir. Genellikle özel anahtarları korumanın birkaç yolu vardır, örneğin bir donanım cüzdanı kullanmak, akıllı sözleşme cüzdanı kullanmak veya telefon uygulamasıyla özel anahtarınızı korumak. Her yöntemin kendi artıları ve eksileri vardır. Kendi deneyimim ve çevremdeki bazı güvenlik uzmanlarının genel deneyimlerine dayanarak, temel kural özel anahtarın kurtarma kelimeleri, bunları not alıp bir kasada saklamaktır, bu kasa ister evdeki, ister bankada olsun, iyi saklayın, genellikle dokunmayın, zaten kullanmanız gerekmiyor. Sonra, özel anahtarınızı saklamak için güvenilir bir cihaz kullanın, ister donanım cüzdanı, ister telefon olsun. Bu telefon kesinlikle özel bir cihaz olmalı, başka herhangi bir işlem yapmamalı, sadece kendi dijital varlıklarınızı yönetmek için kullanılmalıdır. Bu birinci öneri. İkinci öneri, zincir üzerindeki işlemler yaparken güvenlik ve risk bilincine sahip olmalısınız. Özünde, aklınızda bulundurmanız gereken bir cümle var: Gökyüzünden börek düşmez. Zincir üzerindeki işlemler sırasında, kullanıcıların karşılaştığı phishing riski oldukça yüksektir. Tanıdığımız birçok Crypto KOL ve OG'nin phishing saldırılarına maruz kaldığını ve birçok fon kaybettiğini gördük. Eğer bilinmeyen bir site sizden cüzdanınızı bağlamanızı isteyip, sözde bir airdrop ödülü almak istiyorsa, o zaman dikkatli olmalısınız, güvenlik bilincine sahip olmalısınız. Üçüncü öneri, biraz özel varlıklar hakkında temel bilgilere sahip olmanız gerektiğidir. Temel bilgiler, özel varlıklar içinde genellikle bir yetkilendirme kavramının bulunduğunu ifade eder. Bu, geleneksel finansal sistemden oldukça farklıdır. Örneğin, bir tür dijital varlığa sahip olduğunuzda, USDT veya USDC, zincir üzerindeki imza ile bu varlığı bir akıllı sözleşmeye veya diğer kullanıcılara kullanmaları için yetkilendirebilirsiniz ve bu tür bir yetkilendirme sadece cüzdanınız aracılığıyla, anlamadığınız bir dizi garip şeyi imzalayarak gerçekleştirilebilir. Bu nedenle, cüzdan imzasını imzalarken, eğer tam olarak anlamıyorsanız veya kandırılırsanız, yetkilendirme işlemini imzalarsanız, başkaları tüm dijital varlıklarınıza erişebilir. Bu nedenle, yetkilendirme konusunu biraz anlamalısınız, böylece cüzdan imzasını imzalarken yanlışlıkla yetkilendirme işlemi imzalamazsınız. Özetlemek gerekirse, temel öneriler şunlardır: Birincisi, özel anahtarınızı iyi koruyun, bazı uygulanabilir yöntemler verdim; ikincisi, zincir üzerindeki işlemler sırasında her zaman dikkatli olun, güvenlik bilincine sahip olun ve phishing kurbanı olmayın; üçüncüsü, Crypto'nun yetkilendirme mekanizması hakkında temel bir anlayışa sahip olun, böylece yanlışlıkla bazı yetkilendirme işlemlerini imzalamazsınız.
Alex: Etrafımda aslında birçok yüksek net değerli arkadaşım var, onlar da sektörde OG ya da tecrübeli kişiler. Mantıken, sizin bahsettiğiniz bu güvenlik bilinci onlarda da bir miktar var. Ancak her yıl etrafımda bazı büyük yatırımcıların dolandırıldığını duyuyorum. Sektörde bir söz var, diyor ki eğer bir profesyonel hacker sizi hedef almışsa, cüzdanınızda para olduğunu biliyorsa ve tüm kaynaklarını kullanıyorsa, genellikle kaçmanız zordur. Bu tür bir ifade hakkında ne düşünüyorsunuz? Gerçekten böyle mi?
Zhou Yajin: Bu sorunuz çok iyi. Aslında güvenlik problemi, özellikle Crypto güvenliği ile ilgili olarak, temelde dengesiz bir çatışmadır. Eğer cüzdanınızda yeterince varlık varsa, başkalarının hedefli saldırılarının kolay bir hedefi olursunuz. Ve bir kez başkalarının hedefli saldırılarının hedefi olduktan sonra, başkaları çok fazla kaynak kullanacaktır; bu ister sosyal mühendislik kaynakları, ister teknik kaynaklar ya da diğer kaynaklar olsun, hedefin günlük davranış kalıpları, yaşam alışkanlıkları gibi unsurlara dayanarak sizin için tasarlanmış saldırı yöntemleri geliştireceklerdir. Bu durumda, yüzde yüz diyemem ama savunmanın zorluğu çok yüksek çünkü başkaları sizinle çatışmak için çok fazla kaynak kullanıyor ve siz sadece kendinizsiniz. Yani bu oldukça asimetrik bir çatışmadır. Bu durumda, temel prensiplerden biri, Çinlilerin söylediği gibi "zenginliğini göstermemek"; yani sahip olduğunuz varlıkları açığa çıkarmamalısınız, kişisel çevrimdışı kimliğiniz ile zincir üzerindeki varlıklarınız arasındaki ilişkiyi ifşa etmekten kaçınmalısınız. İkinci nokta, eğer yüksek net değerli bir kullanıcıysanız, belki de başkaları tarafından zaten ifşa edilmiş olabileceğinizdir, bu nedenle varlıklarınızı mümkün olduğunca izole etmelisiniz. Yani günlük işlemleriniz için kullandığınız varlık, özel cüzdanınızda en fazla 100.000 olmalıdır; başkaları size hedefli bir saldırıda bulunursa, en fazla bu 100.000'i çalabilirler. Diğer büyük varlıklarınızı, gündelik olarak kullanmanız gerekmeyen bir cüzdanda tutmalısınız. Eğer bu varlıkları kullanmanız gerekiyorsa, güvenlik uzmanlarından yardım alarak iyi bir işlem süreci ve standartlarını gözden geçirmeniz gerekir; bu, büyük risklerden kaçınmanıza yardımcı olabilir.
En Çok İz Bırakan Üç Güvenlik Olayı
**Alex:**Anladım, bu öneri gerçekten çok önemli. Bizimle çalıştığınız süre boyunca en çok etkilendiğiniz üç güvenlik olayını paylaşabilir misiniz? Bu olaylar sizin bizzat deneyimlediğiniz, çevrenizdeki arkadaşlarınızın başına gelen veya bazı gördükleriniz olabilir.
Zhou Yajin: Herkese aslında bizzat katıldığımız ve oldukça etkileyici bulduğumuz güvenlik olaylarını paylaşabilirim. İlk örneği hatırlıyorum, 2023 yılının Şubat ayının onundan birkaç gün önce, zincir üzerinde bir protokol saldırıya uğramıştı. Bu, borç verme ve diğer işlevleri birleştiren bir platformdu. Bu protokolde bir güvenlik açığı vardı, hackerlar bu açığı kullanarak yaklaşık olarak çaldı.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
4
Share
Comment
0/400
OnchainDetective
· 12h ago
Bir güvenlik şefi daha uzman mı oldu? Cüzdanın çoklu imza anahtarları nerede saklanıyor, bunu söylemiyor.
Blok Zinciri güvenlik uzmanı Zhou Yajin ifşa ediyor: Şifreleme varlık güvenliğini korumak için üç strateji
Blok Zinciri güvenlik uzmanı Zhou Yajin: şifreleme varlıklarını korumanın ana stratejileri ve sektör gelişim trendleri
Sunucu: Alex, profesyonel yatırımcı
Konuk: Zhou Yajin, Blok Zinciri güvenlik şirketi BlockSec CEO'su
Kayıt Zamanı: 2025.3.28
BlockSec'in hizmet kapsamı ve hedef müşterileri
**Alex:**Bu bölümde, hepimizin yakından ilgili olduğu bir konuyu konuşacağız, yani şifreleme dünyasının güvenliği. Gerçek risklerle karşılaşmadan önce, genellikle kendimizi haberlerdeki güvenlik olaylarının kurbanı olmayacağımızı düşünürüz. Varlıklarımız için bir güvenlik duvarı inşa etmek ve güvenli bir ortamda yatırım yapmak, şifreleme yolculuğuna başlamadan önceki zorunlu bir dersimizdir. Bu bölümde, Blok Zinciri güvenlik şirketi BlockSec'ten Zhou Yajin'i davet ettik ve bizimle şifreleme güvenliği konusunu konuşacak. Zhou Hocamız, lütfen bize bir selam verin.
Zhou Yajin: Merhaba, ben Zhou Yajin, şu anda BlockSec'te CEO olarak çalışıyorum, aynı zamanda Zhejiang Üniversitesi'nde siber güvenlik alanında araştırmacıyım, hepinizi tanımaktan çok mutluyum.
Alex: Tamam, bugün konumuza girelim. Sanırım birçok dinleyicinin Blok Zinciri güvenlik şirketleri ve güvenlik hizmetleri hakkında pek fazla bilgisi yok. Lütfen öğretmen Zhou, bize BlockSec'i tanıtır mısınız? Hangi hizmetleri sunuyorsunuz ve hangi tür insanlar, hangi tür kurumlar sizin müşteriniz olabilir?
Zhou Yajin: BlockSec, 2021 yılında kurulan bir Web3 güvenlik şirketidir. Web3 güvenliğinden bahsettiğimizde, akla ilk gelen güvenlik denetimi olabilir. Ancak BlockSec'in iş kapsamı yalnızca güvenlik denetimi ile sınırlı değil; ayrıca bir dizi diğer güvenlik ürünleri ve hizmetleri de sunmaktayız. Daha spesifik olarak, hizmetlerimizi üç ana alana ayırabiliriz. İlk alan, zincir üzerindeki protokollere yönelik güvenliktir. Zincir üzerindeki protokoller, blok zinciri üzerinde bazı DeFi veya NFT veya diğer etkinlikler için dağıtılan akıllı sözleşmelerdir. Bu sözleşmelerin güvenliğini nasıl sağlayabiliriz? BlockSec, güvenli denetim hizmetleri ve güvenli izleme ürünleri sunmaktadır. İkinci olarak, daha çok varlık güvenliği ile ilgileniyoruz. Varlık güvenliği, kullanıcıların sahip olduğu varlıkları ifade eder; örneğin, bu varlıklar kendi sözleşme cüzdanlarında veya bazı zincir üzerindeki protokollere yatırılmış olabilir. Kullanıcı varlıklarının güvenliğini sağlamak da hizmet alanlarımızdan biridir. Üçüncü alan ise uyumluluk ve düzenlemedir. Geleneksel finans kurumlarının Crypto sektörüne girdiğini görüyoruz. Son zamanlarda, Amerika'daki geleneksel bankaların zincir üzerinde bazı stablecoin varlıkları yayımladığını ve Crypto'nun sınır ötesi ödeme sektörüne girdiğini duyabiliyoruz. Bu geleneksel finans kurumlarının sektöre girmesi, düzenleyicilere bir zorluk yaratıyor; düzenleyici kurumlar nasıl denetleyeceklerini bilmiyorlar, bu kurumlar da nasıl uyum sağlayacaklarını bilmiyorlar. Bu nedenle, Crypto sektörüne giren bu oyuncuları denetlemek için düzenleyici kurumlara yardımcı olmakta veya Crypto sektörüne giren bu geleneksel kurumların uyum sağlamalarına yardımcı olmaktayız. İş kapsamımız bu üç alanı kapsamaktadır.
Müşterilerimizin kapsadığı alan oldukça geniş. Aklınıza gelebilecek, zincir üzerinde merkeziyetsiz finans veya diğer bazı hizmet projeleri yapan taraflar, örneğin zincir üzerinde Lending hizmeti sunan platformlar, merkeziyetsiz ticaret platformları, bu projeler bizim müşterilerimizdir. Onlara akıllı sözleşmelerinin zincire dağıtımından önce güvenli denetim yaparak yardımcı olabiliriz, geliştirdikleri akıllı sözleşmelerin güvenlik açıkları olup olmadığını güvenlik perspektifinden inceleyerek kontrol edebiliriz. Eğer güvenlik açığı varsa, zamanında düzeltmeleri gerekir. Ayrıca, protokolleri zincire dağıtıldıktan sonra, onların protokollerinin güvenlik risklerini izlemek için 7×24 saat izleme platformuna sahip olacağız. Herhangi bir güvenlik riski oluştuğunda, platformumuz protokole zamanında bildirimde bulunabilir ve riski ve saldırıları otomatik olarak engelleyebilir. Bu nedenle, zincir üzerinde akıllı sözleşme dağıtan bu geliştiriciler ve projeler, bizim tipik müşterilerimizden bir grubudur. İkinci tip tipik müşteriler, varlık sahibi olanlardır, belki de bazı yüksek net değerli müşteriler, akıllı sözleşme cüzdanlarında bazı varlıkları bulunmaktadır veya bu yüksek net değerli müşteriler zincir üzerindeki bazı protokollere yatırım yapmaktadır. Hizmetlerimiz ve ürünlerimiz, onların yatırım yaptıkları protokollerin güvenliğini daha iyi izlemelerine yardımcı olabilir. Bir madalyonun iki yüzü gibi, protokol proje taraflarının perspektifinden, protokollerin güvenliğini artırmalarına yardımcı olabiliriz. Yüksek net değerli müşterilerin yatırım yaptığı protokollerin güvenliğini izlemelerine de yardımcı olabiliriz. Eğer yatırım yaptığı protokolde bir güvenlik riski olursa, örneğin saldırıya uğrarsa, fonlarını geri çekebilmesi için ilk anda müdahale edebilmesi gerekir. Üçüncü tip müşteriler ise, az önce bahsettiğim denetim ve uyumluluk konusudur. Bu tür müşteriler, esasen bazı denetim kurumlarıdır, örneğin Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu da bizim müşterimizdir, ayrıca yurt dışında bazı icra kurumları da dijital para suçlarıyla ilgili soruşturmalar yaparken bizim araçlarımızı ve platformlarımızı kullanmaları gerekmektedir, böylece kanıt toplama, fon takibi gibi araştırma faaliyetlerini kolayca gerçekleştirebilirler. Bu, genel olarak iş modelimiz ve müşterilerimizin kapsama alanıdır.
Şifreleme güvenliği ile ilgili üç öneri
Alex: Anladım, az önce öğretmen Zhou, müşteri türlerinden, onların ihtiyaçlarından ve genel bir sektör durumundan bahsetti. O halde ikinci soru, bireysel yatırımcılarla daha fazla ilişkilendirilebilir, özellikle dinleyicilerimizin çoğu Web3'e yeni başlayan ve yatırım yapmayı öğrenen kişiler. Eğer çevrenizde yeni bir şifreleme yatırımı alanına girmiş bir arkadaşınız varsa ve sizin şifreleme güvenlik hizmetleriyle ilgilendiğinizi biliyorsa, lütfen ona şifreleme güvenliği hakkında üç öneri verin, bu üç öneri hangi öneriler olurdu?
Zhou Yajin: Bu soru gerçekten çok iyi. Yanımdaki arkadaşlar da sık sık bana bazı güvenlik önerileri soruyorlar, bu sektöre girmek istiyorlar ama birçok kişinin bazı risklerle karşılaştığını duyuyorlar. Şaka yollu bir sözümüz vardı: Eğer Crypto dünyasına girdikten sonra, ne phishing (oltalama) kurbanı olduysanız ne de dolandırıldınızsa, o zaman bu alanda kıdemli bir oyuncu olamazsınız. Tabii ki bu bir şaka ama gerçekten de bu sektörde birçok riskin olduğunu görebilirsiniz. Üç öneri vermek gerekirse, ilki kesinlikle herkesin aklına gelecek olanı, yani özel anahtar koruma ile ilgili. Crypto alanında, bu fonlara sahip olduğunuzu nasıl kanıtlayabilirsiniz, aslında bunu sahip olduğunuz özel anahtar ile hesabınızın mülkiyetini kanıtlayarak yaparsınız. Özel anahtar, bir dizi rakamdır ve bu sizin kişisel kimliğinizle herhangi bir şekilde bağlı değildir. Bu dizi rakam kaybolursa veya sızdırılırsa, başkaları sizinle aynı şekilde kendi fonlarınıza sahip olma kontrolüne sahip olabilir. Bu, gerçek dünyamızdan oldukça farklı. Gerçek dünyada, bankanızın şifresi sızdırılırsa, bankayı arayıp hesabı dondurmasını isteyebilirsiniz, başkalarının para çekmesi mümkün değildir. Ama Crypto dünyasında, eğer özel anahtarınız sızdırılırsa, özel anahtarınıza sahip olan kişi, hesabınızdaki fonları sınırsız bir şekilde alabilir. Genellikle özel anahtarları korumanın birkaç yolu vardır, örneğin bir donanım cüzdanı kullanmak, akıllı sözleşme cüzdanı kullanmak veya telefon uygulamasıyla özel anahtarınızı korumak. Her yöntemin kendi artıları ve eksileri vardır. Kendi deneyimim ve çevremdeki bazı güvenlik uzmanlarının genel deneyimlerine dayanarak, temel kural özel anahtarın kurtarma kelimeleri, bunları not alıp bir kasada saklamaktır, bu kasa ister evdeki, ister bankada olsun, iyi saklayın, genellikle dokunmayın, zaten kullanmanız gerekmiyor. Sonra, özel anahtarınızı saklamak için güvenilir bir cihaz kullanın, ister donanım cüzdanı, ister telefon olsun. Bu telefon kesinlikle özel bir cihaz olmalı, başka herhangi bir işlem yapmamalı, sadece kendi dijital varlıklarınızı yönetmek için kullanılmalıdır. Bu birinci öneri. İkinci öneri, zincir üzerindeki işlemler yaparken güvenlik ve risk bilincine sahip olmalısınız. Özünde, aklınızda bulundurmanız gereken bir cümle var: Gökyüzünden börek düşmez. Zincir üzerindeki işlemler sırasında, kullanıcıların karşılaştığı phishing riski oldukça yüksektir. Tanıdığımız birçok Crypto KOL ve OG'nin phishing saldırılarına maruz kaldığını ve birçok fon kaybettiğini gördük. Eğer bilinmeyen bir site sizden cüzdanınızı bağlamanızı isteyip, sözde bir airdrop ödülü almak istiyorsa, o zaman dikkatli olmalısınız, güvenlik bilincine sahip olmalısınız. Üçüncü öneri, biraz özel varlıklar hakkında temel bilgilere sahip olmanız gerektiğidir. Temel bilgiler, özel varlıklar içinde genellikle bir yetkilendirme kavramının bulunduğunu ifade eder. Bu, geleneksel finansal sistemden oldukça farklıdır. Örneğin, bir tür dijital varlığa sahip olduğunuzda, USDT veya USDC, zincir üzerindeki imza ile bu varlığı bir akıllı sözleşmeye veya diğer kullanıcılara kullanmaları için yetkilendirebilirsiniz ve bu tür bir yetkilendirme sadece cüzdanınız aracılığıyla, anlamadığınız bir dizi garip şeyi imzalayarak gerçekleştirilebilir. Bu nedenle, cüzdan imzasını imzalarken, eğer tam olarak anlamıyorsanız veya kandırılırsanız, yetkilendirme işlemini imzalarsanız, başkaları tüm dijital varlıklarınıza erişebilir. Bu nedenle, yetkilendirme konusunu biraz anlamalısınız, böylece cüzdan imzasını imzalarken yanlışlıkla yetkilendirme işlemi imzalamazsınız. Özetlemek gerekirse, temel öneriler şunlardır: Birincisi, özel anahtarınızı iyi koruyun, bazı uygulanabilir yöntemler verdim; ikincisi, zincir üzerindeki işlemler sırasında her zaman dikkatli olun, güvenlik bilincine sahip olun ve phishing kurbanı olmayın; üçüncüsü, Crypto'nun yetkilendirme mekanizması hakkında temel bir anlayışa sahip olun, böylece yanlışlıkla bazı yetkilendirme işlemlerini imzalamazsınız.
Alex: Etrafımda aslında birçok yüksek net değerli arkadaşım var, onlar da sektörde OG ya da tecrübeli kişiler. Mantıken, sizin bahsettiğiniz bu güvenlik bilinci onlarda da bir miktar var. Ancak her yıl etrafımda bazı büyük yatırımcıların dolandırıldığını duyuyorum. Sektörde bir söz var, diyor ki eğer bir profesyonel hacker sizi hedef almışsa, cüzdanınızda para olduğunu biliyorsa ve tüm kaynaklarını kullanıyorsa, genellikle kaçmanız zordur. Bu tür bir ifade hakkında ne düşünüyorsunuz? Gerçekten böyle mi?
Zhou Yajin: Bu sorunuz çok iyi. Aslında güvenlik problemi, özellikle Crypto güvenliği ile ilgili olarak, temelde dengesiz bir çatışmadır. Eğer cüzdanınızda yeterince varlık varsa, başkalarının hedefli saldırılarının kolay bir hedefi olursunuz. Ve bir kez başkalarının hedefli saldırılarının hedefi olduktan sonra, başkaları çok fazla kaynak kullanacaktır; bu ister sosyal mühendislik kaynakları, ister teknik kaynaklar ya da diğer kaynaklar olsun, hedefin günlük davranış kalıpları, yaşam alışkanlıkları gibi unsurlara dayanarak sizin için tasarlanmış saldırı yöntemleri geliştireceklerdir. Bu durumda, yüzde yüz diyemem ama savunmanın zorluğu çok yüksek çünkü başkaları sizinle çatışmak için çok fazla kaynak kullanıyor ve siz sadece kendinizsiniz. Yani bu oldukça asimetrik bir çatışmadır. Bu durumda, temel prensiplerden biri, Çinlilerin söylediği gibi "zenginliğini göstermemek"; yani sahip olduğunuz varlıkları açığa çıkarmamalısınız, kişisel çevrimdışı kimliğiniz ile zincir üzerindeki varlıklarınız arasındaki ilişkiyi ifşa etmekten kaçınmalısınız. İkinci nokta, eğer yüksek net değerli bir kullanıcıysanız, belki de başkaları tarafından zaten ifşa edilmiş olabileceğinizdir, bu nedenle varlıklarınızı mümkün olduğunca izole etmelisiniz. Yani günlük işlemleriniz için kullandığınız varlık, özel cüzdanınızda en fazla 100.000 olmalıdır; başkaları size hedefli bir saldırıda bulunursa, en fazla bu 100.000'i çalabilirler. Diğer büyük varlıklarınızı, gündelik olarak kullanmanız gerekmeyen bir cüzdanda tutmalısınız. Eğer bu varlıkları kullanmanız gerekiyorsa, güvenlik uzmanlarından yardım alarak iyi bir işlem süreci ve standartlarını gözden geçirmeniz gerekir; bu, büyük risklerden kaçınmanıza yardımcı olabilir.
En Çok İz Bırakan Üç Güvenlik Olayı
**Alex:**Anladım, bu öneri gerçekten çok önemli. Bizimle çalıştığınız süre boyunca en çok etkilendiğiniz üç güvenlik olayını paylaşabilir misiniz? Bu olaylar sizin bizzat deneyimlediğiniz, çevrenizdeki arkadaşlarınızın başına gelen veya bazı gördükleriniz olabilir.
Zhou Yajin: Herkese aslında bizzat katıldığımız ve oldukça etkileyici bulduğumuz güvenlik olaylarını paylaşabilirim. İlk örneği hatırlıyorum, 2023 yılının Şubat ayının onundan birkaç gün önce, zincir üzerinde bir protokol saldırıya uğramıştı. Bu, borç verme ve diğer işlevleri birleştiren bir platformdu. Bu protokolde bir güvenlik açığı vardı, hackerlar bu açığı kullanarak yaklaşık olarak çaldı.