Can Polat

Dünyanın en büyük kripto para borsalarından biri olan ByBit, Şubat 2025’te büyük bir hack’in 1,5 milyar dolarlık Ethereum’u çaldığını açıkladı.  Kuzey Koreli hackerlar, kendilerine ait olmayan bir hizmet sağlayıcısındaki bir güvenlik açığından yararlanarak izinsiz girdiler ve yakalanmadan birkaç gün boyunca para çaldılar.  Bu, kullanıcıların cüzdanlarını ve işlem geçmişlerini tehlikeye attı.  Bu sadece teknik bir sorun değildi.  Bu bir eylem çağrısıydı.  ByBit ihlali, kripto şirketlerinin sadece blok zincirlerini güvende tutmaktan daha fazlasını yapması gerektiğini gösteriyor; tedarikçilerini de gözlemlemeleri gerekiyor.  Borsalar, DeFi protokolleri ve cüzdanlar önemli işleri yapmak için başka tedarikçileri işe aldığında, bu şirketler dijital ekosistemin bir parçası haline gelir.  Bir tedarikçinin güvenliği yeterince iyi değilse, insanların paralarına ve özel bilgilerine erişmesine izin verebilir.

Kripto İşletmelerinin Neden Daha Fazla Başarısız Olma Olasılığı Var? 

Kripto şirketlerinin iyi üçüncü taraf risk yönetimi sistemlerine sahip olması gerekiyor çünkü saldırılar daha sık oluyor ve tedarik zincirine yönelik tehditler daha karmaşık hale geliyor. Aşağıdaki nedenlerden dolayı, başkalarının bu işlere girmesi çok kolaydır:

• Birçok tedarikçi DeFi protokollerine bağlı. Örneğin, ortalama bir DeFi protokolü fiyat sağlıyıcıları ve zincirler arası köprüler gibi düzinelerce üçüncü taraf hizmetine bağlanır.  Her biri sistemi saldırmak için daha kolay hale getirir. 2024’te uyarılar vardı, ancak yeterli risk değerlendirmesi yapılmaması, Compound Finance’ın sözleşmelerindeki bilinen bir zayıflık aracılığıyla 20 milyon dolarlık Sonne Finance hırsızlığı gibi saldırılara yol açtı.
• Şirket içinde yeterli bilgi yok: Birçok yeni kripto şirketi, akıllı sözleşmeleri kontrol etmekten gerçek zamanlı tehditleri izlemeye kadar her şeyi yapacak kadar güvenlik personeline sahip değil.
• Gölge Bilişim Teknolojileri: Geliştiriciler genellikle güvenlik liderlerine haber vermeden onaylanmamış kütüphaneler, API’ler veya araçlar ekler. Bu, kod tabanlarını daha az güvenli hale getirir.
• Çok önemli veriler: Kripto platformları özel anahtarları, cüzdan adreslerini, işlem geçmişlerini ve bazen e-posta ve KYC bilgileri gibi kişisel bilgileri bile saklar. Bir hacker hesabınıza girmek, para çalmak veya size kimlik avı e-postaları göndermek için yalnızca bu bilgilere ihtiyaç duyar.

Hiçbir şey yapmazsanız ne olur? 

ByBit’teki ihlalin yanı sıra başka ihlaller de vardı.  2024 yılında hackler ve dolandırıcılıklar kripto faaliyetlerinden 3 milyar dolardan fazla çalmıştır.  230 milyon dolarlık WazirX istismarı ve 44 milyon dolarlık CoinDCX sunucu ihlalinin çoğu, üçüncü taraf sistemlerindeki zayıflıklarla ilgiliydi.  2024 yılında kripto para piyasası suçlulara neredeyse 2,2 milyar dolar kaybetti.  2025’in ilk yarısında daha da fazla çaldılar: 2,17 milyar dolar.  Bunlar ticareti zorlaştırıyor, nakit elde etmeyi zorlaştırıyor ve yatırımcıların inancını kaybetmesine neden oluyor.  Bir ihlal günlerce, hatta haftalarca çalışmayı durdurabilir.  İnsanlar şirketlerin toparlanma maliyetlerinin yüz milyonlarca olduğunu düşünüyor. Para kaybetmek uzun vadede itibarınızı zedeler.  Tedarikçi riski sadece devops için değil, tüm sektör için bir sorundur.

Başkalarından kaynaklanan riskleri yönetmek için iyi bir plan nasıl yapılır? 

Üçüncü taraf riskini bir kez ele alıp sonra unutamazsınız.  Bu süreç tedarikçi ile çalışmaya başlamadan önce başlar ve tüm süre boyunca devam eder.

1. DAHA FAYDALI SORULAR SORUN

Birlikte çalışmadan önce, kripto şirketleri tedarikçilere doğru güvenlik sorularını sormalı ve bunların doğru yanıtlandığından emin olmalıdır.   Bu, “Şifreliyor musunuz?” diye sormaktan daha fazlası.  Ayrıca, “Tüm dahili sistemler ve API erişimi için çok faktörlü kimlik doğrulamasına (MFA) ihtiyacınız var mı ve bunu uyguluyor musunuz?” gibi sorular da sorar.

– Özel anahtarları ve kullanıcı işlem kayıtlarını nasıl güvende tutuyorsunuz?

– Siber saldırıları nasıl yöneteceğinize dair yazılı bir planınız var mı?

– Akıllı sözleşmelerinizi veya altyapınızı sürekli olarak şirket dışından başkaları kontrol ediyor mu?

2. TEDARİKÇİLERİ NE KADAR RİSKLİ OLDUKLARINA GÖRE SIRALAYIN

Tedarikçiler arasında farklılıklar var.  Hangi verilere eriştiği ve ana iş için ne kadar önemli olduklarına göre gruplandırın.  Fiyat sağlayıcılar, zincirler arası köprüler ve varlıklarınızı elinde bulunduran bazı yüksek riskli tedarikçiler vardır.  Orta riskli hizmet sağlayıcılar KYC doğrulama ve analiz araçlarını yönetir. Çok fazla risk almak istemeyenler, veri depolamayan pazarlama yazılımlarını veya API’lerini kullanabilirler.  Şirketler, tedarikçileri önem sırasına koyarak güvenlik kaynaklarını daha iyi kullanabilirler.

3. HER SÖZLEŞMEDE SİBER GÜVENLİK HAKKINDA BİR BÖLÜM BULUNMALIDIR

Üçüncü taraf incelemesinin bir parçası olarak, tedarikçi sözleşmeleri, ihlali müşterilere bildirmenin ne kadar süreceği, hangi güvenlik önlemlerinin (MFA, şifreleme protokolleri ve erişim kontrolleri gibi) gerekli olduğu ve bunların nasıl yapılacağı gibi hususları içermelidir.   Sözleşmeler ayrıca şirkete denetleme hakkı, tazminat maddeleri ve standartların karşılanmaması durumunda sözleşmeyi feshetme hakkı vermelidir.

4. İNSANLARI KONTROL ETMEK İÇİN YAPILANDIRILMIŞ BİR SÜREÇ OLUŞTURUN

Aave gibi platformlara göz atın, burada yönetişim protokol güncellemelerini ve entegrasyonlarını inceler, CertiK gibi şirketler üçüncü taraf akıllı sözleşme denetimleri yapar ve topluluk canlı yayınlanmadan önce bunlar için oy kullanır.  Entegrasyonlar gerçekleşmeden önce, yönetim (güvenlik ve geliştirme ekiplerini de içeren) yeni araçları inceler, gizlilik politikalarını kontrol eder ve standart satıcı güvenlik anketlerini doldurur.  Çalışıyor ama çok uzun sürüyor.

5. TEDARİKÇİYLE BASLANGIÇTA YALNIZCA GÖZLEM YETERLİ DEĞİL; SÜREKLİ OLARAK İZLEYİN

Güvenlik tehditleri değiştikçe, denetiminiz de değişmelidir.  Mevcut tedarikçilerinizi düzenli olarak kontrol edin ve oluşturdukları riskleri yeniden değerlendirin.  Her yıl yeni güvenlik sertifikaları veya uyumluluk raporları ( ISEA3402, SOC2 ) talep edin.  Garip işlemleri otomatik olarak bulmak ve gerektiğinde insanların bunlara erişmesini engellemek için blok zinciri izleme araçlarını kullanabilirsiniz.  Güvenlik yönetimi iyi yapılırsa, cüzdan sistemleri daha sıkı erişim kontrollerine ve zincir üzerinde güvenliğe sahip olabilir.

6. ÇALIŞANLARA GÜVENLİ BİR ŞEKİLDE NASIL ENTEGRE OLACAKLARINI GÖSTERİN.

Geliştiricilere ve ekiplere, çok fazla izin isteyen veya açık bir güvenlik politikası olmayan bir satıcıdan gelen API gibi uyarı işaretlerini nasıl arayacaklarını öğretin.  Eğitim, çalışanların sorunun değil, çözümün bir parçası olmalarına yardımcı olur, bu da gölge bilişimini azaltır.  Chainalysis ve diğer şirketler, kripto para birimleriyle çalışanlara en iyi tedarikçi ve entegrasyonları seçmelerine yardımcı olacak ücretsiz araçlar sunuyor.

7. İŞİ CSO’NUZA VEYA GÜVENLİK MÜDÜRÜNÜZE VERİN.

Kararlar farklı yerlerde alınsa bile, para veya veri işleyen herhangi bir satıcı hakkında baş güvenlik yetkilinize veya sorumlu başka birine bilgi vermelisiniz.  Sadece ihlal olduğunda değil, her zaman karar alma sürecine dahil olmaları gerekiyor.

Risk Blockchain’de Durmaz

Kripto şirketleri siber güvenliği sadece blok zincirini kontrol etmek ve cüzdanları daha güvenli hale getirmek olarak düşünemez.  Günümüz dünyasında riskiniz, çalıştığınız en zayıf tedarikçiniz kadar güçlüdür. ByBit ihlaline kötü bir akıllı sözleşme veya dikkatsiz bir kullanıcı neden olmadı.  Bir satıcı güvenlik açığını düzeltmedi ve bir izinsiz girişi zamanında fark etmedi, bu yüzden oldu.  Birçok insanın parası, milyarlarca dolar, kayboldu.   Tüm kripto işletmeleri topluluklarının varlıklarını korumalıdır.  Bu, tedarikçi riskinin siber güvenlikte öncelikli bir konu olması, sonradan gelen bir şey olmaması gerektiği anlamına gelir.