Bu yazıyı okuyorsanız büyük ihtimalle blokzincir ifadesini duymuşsunuzdur, kripto paranın ne olduğunu biliyorsunuzdur ve merkeziyetsiz finansa aşinasınızdır. Her ihtimale karşı kısaca hatırlatalım.
Blokzincir (blockchain) teknolojisi, bir kaydın merkezi bir yapıda değil dağınık olarak tutulmasını, denetlenmesini ve sonradan değiştirilemeyecek bir şekilde damgalanmasını sağlar. Blokzincir teknolojisi birçok alanda kullanılabilir ama genellikle kripto paralarda kullanılır. Daha fazla bilgi için Blokzincir 101 yazımızı okuyabilirsiniz.
Blokzincir teknolojisi ile hayat bulan paralara kripto para diyoruz.
Aynı şekilde kripto paradan söz ediyorsak merkeziyetsiz finans yapısından söz ediyoruz. DeFi kısaltması ile kullanılan herhangi bir merkezi otoriteye bağlı olmadan çalışan, takas, faiz, borç gibi hizmetlere fırsat tanıyan kullanıcıya finansal özgürlük sunan açık finansal yapıları ifade eder.
Cüzdan
Nakit paramızı güvende tutmanın birçok yolu vardır. Üzerimizde taşırız, çekmeceye kilitleriz, çelik kasaya koyarız, banka hesabına emanet ederiz. Üzerimizde para taşırken kullandığımız cüzdanlarımız gibi kripto paralar için de cüzdanlar kullanılır. Ama aslında kripto para cüzdanı yukarıda nakit para için saydığımız çelik kasa, çekmece, banka hesabı gibi araçların tamamının yerine kulanılıyor gibi görünebilir. İşin aslı öyle değildir. Kripto para cüzdanları kripto paramızı değil kripto paraya erişim hakkı sağlayan kripto para adresini ve erişim anahtarını tutmamıza yarayan güvenli araçlardır.
Bir uygulama içinde barındırılan cüzdanlar, emanet edilemeyen cüzdanlar (self-custody veya non-custodial) olabildiği gibi soğuk cüzdan olarak tabir edilen donanım şeklinde cüzdanlar da bulunmaktadır. Kripto para cüzdanları için oluşturulmuş yazılım kodları (uygulama) vardır. Bu yazılım kodunun ve sizin dijital varlıklarınızın kaydının nerede tutulduğuna göre farklı cüzdan türleri mevcuttur.
Aslında tüm cüzdanlar bir hesap numarası (açık anahtar) ve şifre (gizli anahtar) dan oluşan çiftleri barındırı. Anahtarlarla ilgili aşağıda daha ayrıntılı bilgi vereceğim. Bu anahtar çiftlerinin nerede ve nasıl saklandığı cüzdanları birbirinden ayırmamızı sağlayan ana kategori yapısını oluşturur.
Cüzdan Türleri
Kripto para cüzdanları, anahtarların saklama ortamının neresi olduğuna göre iki türlüdür: sıcak cüzdan ve soğuk cüzdan. Asıl varlık kaydı her zaman blokzincir üzerindedir. Soğuk veya sıcak olmasını belirleyen o hesaba erişecek anahtarın nerede olduğudur. Özetle bilgisayar veya telefonunuzun içinde ise sıcak, dış bir ortamda ise soğuk diyoruz.
Blokzincire erişmek için online bağlantınızın olması gerekir. Bu da teorik olarak siber saldırılara açık olduğunuz anlamına gelir. Cüzdan anahtarlarınız eğer bir üçüncü parti uygulamaya veya kurum tarafından barındırılıyorsa ayrıca barındırılan (emanet edilen) bir cüzdanınız var demektir. Sıcak cüzdan olduğu halde herhangi bir üçüncü tarafa emanet edilmeyen cüzdanlar da mevcuttur. Kripto para varlıkları ile işlem yapan kişilerin çoğu bir borsa üzerinde alım-satım işlemleri yürüttükleri için bu tür barındırılan cüzdanlara sahiptirler.
Barındırılan Cüzdanlar
Bir mobil uygulamanın içinde, bilgisayar uygulamasının içinde veya bir kripto borsasında, pazaryerinde barındırılan size ait cüzdanlar olabilir. Bu cüzdanlara barındırılan cüzdan denir. Binance, Gemini, Paribu vs. gibi bir kripto para borsasında bir hesap açtığınızda genellikle size bir cüzdan sunarlar. Bu cüzdanlar ilgili uygulama içinde barındırılmaktadır. Siz cüzdanı barındıran ortama güvenirsiniz. İlgili ortam veya borsa da gerekli güvenlik önlemlerini alır.
Bazı kripto para uygulamaları herkese özel ve ayrı bir cüzdan açmadan ortak bir cüzdanda işlem yapıyor da olabilir. Size bir müşteri numarası verilerek varlıklarınız veritabanı üzerinde takip edilir. Hesap numarası ihtiyacınız olması durumunda sistem otomatik olarak size özel hesap numaraları üretir.
Emanet Edilemeyen Cüzdanlar
Bu cüzdanlar kripto paranın tam kontrolünü kullanıcıya verir. Coinbase Wallet veya MetaMask bu tür cüzdanların en bilinenleridir. Bu cüzdanlar üçüncü bir tarafa güvenmez ve herhangi bir uygulama içinde değildir. Bu cüzdanların parolasını hatırlama ve koruma sorumluluğu tamamen size aittir. Parolalar genellikle “özel anahtar” veya “seed phrase” olarak adlandırılır. Parola ve anahtarları unutur veya kaybederseniz kriptonuza erişmenin bir yolu yoktur. Anahtar kelime ve parolanız başka biri tarafından bulunur veya çalınırsa bunlara sahip olan kişi varlıklarınıza tam erişim de sağlar.
Peki emanet edilemeyen cüzdanın avantajları var mıdır? Kriptonuzun güvenliği üzerinde tam kontrole sahip olmanın yanı sıra yield farming, staking, borç verme, borç alma ve daha birçok gelişmiş kripto faaliyetinde de bulunabilirsiniz.
Emanet edilmeyen kripto para cüzdanları masaüstü uygulaması, web uygulaması, mobil uygulama, browser eklentisi olabileceği gibi donanım (soğuk cüzdan) ve kağıt çıktı şeklinde de olabilir.
Brain Wallet (Hafıza Cüzdanı): Hafızası güçlü ise gizli anahtarı ya da anahtarı daha kolay okunur hale getirmek için üretilen kurtarma kelimelerini ezberleyebilecek (ve unutmayacağından emin) kişilerin tercih edebileceği bir cüzdandır.
Hem Hafıza hem de Soğuk Cüzdanlarda gizli anahtarın kullanımı için anahtarı bir başka mecrada paylaşmak gerektiği için bu cüzdanlar genellikle güvenlik adına tek sefer kullanılmalıdır.
Extention Wallets (Eklenti Cüzdanları): Genellikle internet tarayıcılara eklenti olarak yüklenen anahtar çiftlerinizi bilgisayarınızın içerisinde şifrelenmiş olarak saklayan çözümlerdir.
Web Wallet (Web Cüzdanları): Web sitesi üzerine inşa edilmiş, bilgileri yine tarayıcınızın hafızasında saklayan cüzdanlardır.
Eklenti ve Web Cüzdanı ile Cüzdan uygulamaları kullanıldıkları ortam güvende olduğu sürece pek çok işlem için güvenle kullanılabilirler. Ancak bilgisayarın ele geçirilmesi, virüsler ve benzeri tehlikeler bu cüzdanları tehdide açık hale getirir.
Wallet Apps (Cüzdan Uygulamaları): Bunlar farklı ortamlara göre üretilmiş, bilgisayarlar ve cep telefonlarında kullanılabilen anahtar çiftlerini kurulu oldukları cihazın hafızasında şifreleyerek saklayabilen cüzdanlardır.
Soğuk Cüzdanlar
Cold/Hardware Wallet (Donanım Cüzdanlar) Anahtar çiftlerini kendi donanımları içlerinde saklayan, imzalama işlemi yaparken bile anahtarı dışarı vermeyen güvenli çözümlerdir.
Soğuk cüzdanlar offline çalışan donanımlar veya kartlar şeklinde olabilir. Soğuk cüzdanlar saldırılar karşısında daha fazla güvenlik sunarlar. Varlıklarınızın çalınabilmesi için hem ilgili donanımın elde edilmesi hem şifre ve anahtar kelimelerinizin elde edilmesi gerekir. Eğer güvenli şifre ve anahtar kelimeler oluşturmuş ve varlıklarınızı soğuk cüzdanda saklıyorsanız daha fazla güvende olursunuz.
Donanım şeklindeki soğuk cüzdanlarda private key yüksek dereceden şifreleme algoritmaları ile harici bir donanım içerisine kaydedilmiş durumdadır ve key asla dışarı çıkartılmaz. Bir işlem onaylanmak istenirse onaylanacak işlem donanım içerisine alınır, orada key ile imzalanır ve geri çıkartılır. Bu işlemin yapılabilmesi için de donanıma tanımlanmış kullanıcı şifresinin kullanılması gerekir. Bu şifreler brute-force-attact’a karşı bir kaç denemeden sonra donanımları kilitleyecek şekilde dizayn edilmiştir. O bakımdan donanım anahtarlar bir başkasının eline geçmediği sürece sorun olmaz. Ancak donanım anahtarlarda sıkıntı çıkması durumunda hesap erişimini kaybetmemek için normal hesaplarımzda kullandığımız anahtar kelimeler mantığı kullanılır. Bu kelimelerin bir şekilde kaptırılması durumunda sizdeki donanıma ihtiyaç kalmadan tüm hesabınıza erişim sağlanabilir.
Soğuk cüzdanın bir diğer kolaylığı da taşıma kolaylığıdır. Fiziksel olarak yanınızda taşıyabilme kolaylığının yanı sıra desteklenen ağlar arasında da güvenli şekilde varlıklarınızı taşıyabilirsiniz.
Soğuk cüzdanların dezavantajı ise işlem yapmak ve kripto para gönderip almak, takas etmek konusunda daha yavaş olmasıdır. İşlem yapmak için işlem yapacağınız miktarda varlığınızı bir sıcak cüzdana veya işlem yapacağınız borsaya/hesaba aktarmanız ve arkasından işlem yapmanız gerekir. Ayrıca her soğuk cüzdanın desteklediği ve desteklemediği koinler vardır.
Donanım şeklindeki soğuk cüzdanlarda dikkat edilmesi gereken bir diğer konu da donanımın içine arka kapı bırakacak şekilde bir firmware yerleştirilebileceği gerçeğidir. Sadece ikinci el cüzdanlarda değil, üretisici veya satıcısına güvenmediğimiz birinci el cüzdanlarda bile böyle bir güvenlik açığı olabilir. Donanım cüzdanlara içlerinde arka kapı barındıran yeni bir firmwarein sonradan yüklenme olasılığı da vardır. Alacağınız ikinci el bir üründe, ya da kötü amaçla birinci el gibi gösterilmiş, paketlenmiş, pırıl pırıl bir üründe bile böyle bir firmware olası mümkündür. O yüzden güvenli bir satıcıdan alınmış olması önem arz eder.
Kripto Para Cüzdanlarında Anahtar
Kripto para cüzdanları merkezi olmadığında kriptolamaya esas olan özel anahtarı büyük önem arz eder. Kripto para cüzdanları bir hesap numarası (açık anahtar) ve şifre (gizli anahtar) dan oluşan çiftlerdir.
Merkezi bir sistemde tutulan bir hesabınız olduğunda şifre ve anahtarlarınız database’de bir kriptolama algoritması ile saklanıyor olabilir. Ancak yine de bir merkezde saklanmaktadır. Eğer şifre/parola unutmanız halinde sistem size şifre hatırlatır veya yeni bir şifre belirlemeniz için bir yol gösterir.
Merkezi olmayan bir yapıda ise size şifre ve parola hatırlatacak veya yeni bir şifre belirlemenizi sağlayacak bir merkez yoktur. Bu sebeple cüzdan oluşturulurken size özel bir anahtar belirlenir ve bu anahtarı güvenli bir yerde koruma sorumluluğu size aittir. Genelde bir dizi kelime ve sayıdan ibaret bir anahtar olabilir.
Bu durum özellikle yukarıda belirttiğimiz barındırılmayan kripto para cüzdanları için çok daha hayati öneme sahiptir. Çünkü barındırdığınız cüzdanlarda iki faktörlü doğrulama ile size yeniden bir şifre ve anahtar belirleme fırsatı sunulabilir. Bu durum bizi merkeziyetsiz yapıdan uzaklaştırır.
Bu anahtar çiftleri özel kriptografik algoritmalar ile üzerinde çalışılacak ağın desteklediği standartlara uygun şekilde üretilirler. Bazı ağlar aynı standardı desteklediği için aynı hesap numarası farklı ağlardaki hesapları işaret etmek için kullanılabilir. Açık anahtar bize para göndermek isteyen herkese açık olarak dağıttığımız hesap numarası işlevini görürken gizli anahtar o hesabın sahibi olduğumuzu belirten ana belirteçtir. Gizli anahtarın kaybedilmesi durumunda bir daha hesaba erişmek mümkün olmaz, ya da gizli anahtarı birisinin ele geçirmesi o hesap üzerinde her türlü işlemi yapabileceği manasına gelir.
Kripto Para Cüzdanları ve Networkler (Ağlar)
Her kripto para cüzdanı üzerinde çalışacağı ağın belirlediği standartlara uygun yapılandırılmıştır. Yani her bir cüzdanın desteklediği ağlardan söz edilebilir. Belirli bir ağda çalışmak üzere yapılandırılmış bir cüzdan başka bir ağda çalışmaz. Son zamanlarda cross-wallet veya bridge olarak adlandırılan ve ağlar arasında köprü görevi görerek birçok farklı ağı destekleyen cüzdan uygulamaları da geliştirilmeye başlanmıştır.
Kağıt Çıktı Alınan bir Cüzdan olabilir mi?
Paper wallet denilen (kağıt cüzdan) cüzdanlar da mevcuttur. Aslında kağıda çıktı alınan şey cüzdanın kendisi değil şifresi ve anahtarlarından ibarettir. Cold/Paper Wallet (Soğuk/Kağıt Cüzdan) gizli anahtar veya kurtarma kelimelerini bir kağıt yada yanmaması adına metal bir ortam üzerine yazmak ve bir kasada saklamak şeklinde özetlenebilecek bir metottur.
Paper wallet siber saldırılara karşı güvenlidir. Ancak fiziksel saldırılar veya çalınmalara karşı oldukça güvensizdir.