Tedaviden Zehire: İzin Neden Risk Kaynağı Haline Geldi?
1. İzin nedir?
Borç para almakla ilgili küçük bir hikayeyle başlayalım:
Arkadaşım Jack Ma’dan 1 milyon borç almak istediğimi düşünün. Jack hiç tereddüt etmeden telefonu açıyor ve bankayı arayarak kimliğini teyit ediyor ve benim için 1 milyonluk bir para çekme limiti belirlemeleri talimatını veriyor. Banka bu yetkiyi kaydediyor ve benim tek yapmam gereken bankayı ziyaret etmek, kendimi tanıtmak ve yetki verilen miktarı çekmek. Banka yetkilendirmeyi bulamazsa, talebim reddedilir.
Şimdi, bu sürecin farklı bir yöntemle (İzin) nasıl değiştiğini inceleyelim. Bu senaryoda, Jack’ten 1 milyon istediğimde, bir çek çıkarır, tutarı doldurur, imzalar ve bana verir. Çeki bankaya götürüyorum ve bir yetkilendirme kaydı olmasa bile banka Jack’in imzasına dayanarak çeki nakde çeviriyor.
Bu, Approve ve Permit arasındaki farkı göstermektedir. ERC-20’nin temel bir özelliği olan Approve, Ethereum piyasaya sürüldüğünden beri yaygın olarak kullanılmaktadır. Peki aynı etkiyi elde etmek için Permit neden daha sonra ERC-2612 aracılığıyla tanıtıldı?
2. İzin Neden Gerekliydi?
ERC-2612 teklifi Mart 2019’da tanıtıldı ve Ekim 2022’de sonuçlandırıldı. Geliştirilmesi, Ethereum’un gaz fiyatlarındaki birkaç artışla aynı zamana denk geldi. Boğa koşuları sırasında piyasanın çılgınlığı, kullanıcıların daha hızlı işlemler için gaz ücretlerine daha fazla harcama yapmasına yol açtı; burada bir blokluk avantaj bile önemli bir kar anlamına gelebilir.
Ancak bu olgu kullanıcılar için bir yük oluşturdu, çünkü Onaylama için gereken iki işlem süreci, özellikle daha küçük fonlara sahip olanlar için maliyetli hale geldi. Permit’in kullanıma sunulması, çevrimdışı imzalamaya olanak tanıyarak anında zincir üzerinde yetkilendirme ihtiyacını ortadan kaldırdı. Bu değişiklik, önceden banka onayı gerektirmeden çek bozdurmaya benzer şekilde, yetkilendirmenin token transferiyle birlikte sağlanabileceği anlamına geliyordu.
Bu, Jack’i telefon görüşmesinden kurtarmak ve kullanıcı işlem ücretlerini azaltmak gibi faydalı görünse de, istemeden Pandora’nın kutusunu açtı.
3. Risklerin Hızlı Yükselişi
Permit’ten önce, bilgisayar korsanları genellikle kullanıcıların Onaylama işlemlerini imzalamasını gerektiren kimlik avı yöntemlerine güveniyordu, bu da gaz ücretlerine neden oluyor ve kırmızı bayrakları yükseltiyordu. Kullanıcılar yanlışlıkla tıklamış olsalar bile, zincir üzerindeki işlemler için zaman gecikmesi, yeni bir işlemle eylemi tersine çevirmelerine olanak tanıyordu.
Ancak Permit oyunu değiştirdi. Benzin ücretlerini ortadan kaldırarak yalnızca imza gerektiriyor ve bu da kullanıcının dikkatini azaltıyor. İmza çevrimdışı olduğundan, bilgisayar korsanları kontrolü ele geçirebilir ve istedikleri zaman durumdan faydalanarak kazançlarını en üst düzeye çıkarabilirler.
Bu değişimin etkisi, artan kimlik avı kurbanı sayısında ve çalınan miktarlarda açıkça görülmektedir. ScamSniffer’a göre:
- 2023 yılında kimlik avı kayıpları 295 milyon dolara ulaşmıştır.
- Bu rakam, 2024 yılının ortalarına gelindiğinde 314 milyon doları çoktan aşmıştı.
- 2024 yılının 3. çeyreğinde meydana gelen önemli bir olayda bir cüzdan Permit kimlik avı saldırısına kurban gitmiş ve yaklaşık 30 milyon $ değerinde 12.000 $spWETH kaybedilmiştir.
Bu tür sonuçlar, başlangıçta gaz maliyetlerini düşürmeyi ve kullanıcı deneyimini geliştirmeyi amaçlayan Permit’i öneren geliştiriciler tarafından muhtemelen öngörülmemişti. İki ucu keskin bir kılıç olarak tasarlanan Permit, kullanıcıların varlıklarının etrafındaki koruyucu bariyerleri kesen keskin bir bıçağa dönüştü.
Uniswap‘ın Permit2’si gibi benzer çevrimdışı imzalama yöntemleri ortaya çıkmıştır, bu da çevrimdışı imzalamaya olan bağımlılığı artırmakta ve kimlik avı risklerini yükseltmektedir.
4. Kendinizi Nasıl Korursunuz
Yaklaşan bu tehdit karşısında kullanıcılar kayıplarını azaltmak için çeşitli önlemler alabilirler:
1. Farkındalığı Artırın
- Airdrop Ayartmalarına Karşı Dikkatli Olun: Airdrop’lar cazip olabilir, ancak çoğu kimlik avı girişimidir. Katılmadan önce her zaman birden fazla kaynak aracılığıyla bir airdrop’un meşruiyetini doğrulayın.
- Kör İmzalamadan Kaçının: Yanlışlıkla bir kimlik avı sitesine girerseniz ve bir işlem penceresi görünürse, işlem ayrıntılarını inceleyin. Permit, Permit2, Approve veya IncreaseAllowance gibi terimler olası yetkilendirme sorunlarına işaret ederek dikkatli olunmasını gerektirir. Keystone gibi donanım cüzdanları, işlem ayrıntılarını ayrıştırıp görüntüleyerek yardımcı olabilir ve düşünmeden yapılan eylemleri önleyebilir.
2. Araçlardan Yararlanın
- ScamSniffer: Bu tarayıcı uzantısı, kullanıcıları şüpheli URL’lere girmeden önce uyararak etkileşimleri derhal durdurmalarını sağlar.
- İptal: Revoke.cash, cüzdanınızdaki token yetkilendirme kayıtlarını görüntüler ve kullanıcılara şüpheli veya sınırsız yetkilendirmeleri iptal etmelerini önerir. Yetkilendirmeleri düzenli olarak temizlemek riskleri en aza indirir.
3. Varlık İzolasyonu ve Çok İmzalı Cüzdanlar
“Tüm yumurtalarınızı tek bir sepete koymayın” atasözü kripto varlıkları için de geçerlidir. Önemli varlıkları Keystone gibi soğuk cüzdanlarda saklayın ve günlük işlemler için küçük sıcak cüzdanlar kullanın. Bu şekilde, bir cüzdan tehlikeye girse bile, tüm varlıklar risk altında olmaz.
Daha fazla güvenlik için, çoklu imza cüzdanları daha fazla koruma sağlayabilir. Varlıklara yalnızca önceden belirlenmiş sayıda cüzdan onayı ile erişilebilir, bu da güvenliği ihlal edilmiş tek bir cüzdanın tamamen kayba yol açmamasını sağlar.
5. Sonuç
Permit’in getirdiği değeri inkar edemesek de, artan hırsızlık sayısı, risklerinin faydalarından daha ağır basabileceğini gösteriyor. Bir zamanlar yaygın olan ve sonunda güvenlik endişeleri nedeniyle terk edilen ethsign yöntemine benzer şekilde, Permit şimdi kritik bir anla karşı karşıya. Geliştiriciler bu yöntemi ileriye dönük olarak geliştirmeyi mi yoksa terk etmeyi mi düşünmelidir.