Çoklu imza (multisig) cüzdanlar, kripto güvenliğini artırmak için güçlü bir araçtır. Her işlemin birden fazla onay gerektirmesi sayesinde DAO'lar, ekipler ve ailelerin fonlarını korurlar. Ancak bu aynı özellik, dolandırıcılar tarafından kurnazca suistimal edilmektedir.
Bu dolandırıcılıkların nasıl işlediğini anlamak, varlıklarınızı korumanın ilk adımıdır.
Standart bir kripto cüzdan tek bir özel anahtar tarafından kontrol edilir. Multisig cüzdan ise bir işlemi yetkilendirmek için birden fazla anahtarın imzasını gerektirir.
Örneğin bir cüzdan "2-of-3" multisig şeklinde ayarlanmış olabilir. Bu, üç yetkili imza sahibi olduğu anlamına gelir; ancak fonların taşınabilmesi için bunlardan herhangi iki kişi bir işlemi onaylamalıdır. Bu tasarım tek bir başarısızlık noktasını ortadan kaldırır; bir anahtar ele geçirilse bile fonlar güvende kalır. İşte bu yüzden multisig'ler grup fonlarını ve şirket kasalarını yönetmek için altın standarttır.
Dolandırıcılar multisig cüzdanlar etrafında kullanıcıları kandırmak için çeşitli yöntemler kullanır. Bazıları, saldırganları ortak imza sahibi olarak eklemeye ikna etmek için taklitçilik veya oltalama (phishing) yöntemlerine dayanır. Diğerleri ise iyi niyetli kullanıcıları işlem ücretleri göndermeye teşvik eden daha basit yemler kullanır. Hesap yapıları ve izin modelleri bazı saldırıları kolaylaştıran zincirlerde bu dolandırıcılıklar özellikle yaygın olabilir.
Yaygın bir tuzak, saldırganın bir seed cümlesi veya özel anahtarı kamuya paylaşmasıyla başlar ve cüzdanın serbestçe erişilebilir olduğu izlenimini verir. Birisi o hesabı içe aktardığında token bakiyesi görebilir ama cüzdanın gas için gereken yerel tokena sahip olmadığını fark eder. Dolandırıcı daha sonra izleyicileri ücretleri karşılamak için yerel token göndermeye teşvik eder. Ücreti ödemek için gönderim yapan kurbanlar, cüzdan aslında bir multisig düzenlemesi tarafından kontrol edildiği veya çekimleri engelleyen başka kısıtlamalar olduğu için gönderdiği varlıkları hızla kaybederler.
Daha karmaşık saldırılarda, dolandırıcılar kullanıcılara meşru görünen ancak saldırgana perde arkasında sahiplik ayrıcalıkları veren bir multisig kuruluma katılmaları için ikna eder. Ortak imzacı olarak eklendikten sonra saldırgan işlemleri engelleyebilir, fonları kilitleyebilir veya kurbanların varlıklarına erişemeyeceği bir transferi koordine edebilir.
Multisig dolandırıcılıklarını önlemek dikkatli davranış ve teknik hijyenin bir kombinasyonunu gerektirir. Aşağıdaki önlemler mağdur olma ihtimalinizi azaltır.
Hiçbir meşru hizmet sizden seed cümlenizi veya tam özel anahtarınızı paylaşmanızı istemez. Bu bilgileri çevrimdışı ve güvenli bir yerde saklayın ve asla başkalarına açıklamayın.
Sadece güvenilir, doğrulanmış kaynaklardan cüzdanları ve eklentileri yükleyin. Sahte uygulamalar veya oltalama (phishing) sitelerinden kaçınmak için uygulama mağazası listelerini, yayıncı adlarını ve URL'leri iki kez kontrol edin.
Kullandığınız herhangi bir multisig cüzdanda kimin imza yetkisi olduğunu kontrol edin. Tanımadığınız imzacıları kaldırın ve artık kullanmadığınız merkeziyetsiz uygulamalara verdiğiniz izinleri iptal edin.
Donanım cihazları özel anahtarları çevrimdışı tutar ve işlemleri imzalamak için fiziksel onay gerektirir. Kurulumunuzun diğer bölümleri ele geçirildiğinde bile güçlü bir koruma katmanı sağlarlar.
İlgili hesaplar ve hizmetlerde iki faktörlü doğrulama (2FA) yetkisiz erişime karşı ekstra bir engel ekler.
Sahtekârlık taktikleri hızla evrilir. Saygın güvenlik güncellemelerini takip edin ve yeni saldırı biçimlerini öğrenin, böylece şüpheli istekleri veya davranışları tanıyabilirsiniz.
Bazı cüzdan uygulamaları artık fonlar bloke edildiğinde veya bir adres olağan dışı izin kurallarına tabi olduğunda uyarılar gösterir. Bu uyarıları ciddiye alın ve herhangi bir token göndermeden önce araştırma yapın.
Multisig cüzdanlar doğru kullanıldığında büyük bir güvenlik yükseltmesi sağlar. Ancak sosyal mühendislik ve kurnaz dolandırıcılıklara karşı bağışık değildirler.
Her zaman işlem yaptığınız tarafı doğrulayın, anahtarlarınız üzerinde sıkı kontrol sağlayın ve kamuya açık paylaşılan bir cüzdan içeren her teklife karşı derin şüpheci olun. Bilgili ve dikkatli kalarak multisig teknolojisinin avantajlarından ortak tuzaklara düşmeden yararlanabilirsiniz.