İkiz kripto para birimi ve dijital kimlik devrimlerinin, her ikisinin de benzeri görülmemiş tehditlerle karşı karşıya olduğu bir dünyada herkesin egemenliğinin ve güvenliğinin sorumluluğunu üstlenebileceği daha iyi bir gelecek inşa etmesi bekleniyor. Ancak çok önemli bir düzeyde, merkezi olmayan ekosistemin göze çarpan bir güvenlik açığı var: Tüketici donanım cüzdanları.
Ledger gibi cihazlar kendilerini kripto ekonomisinin güvenliğinde son söz olarak satıyor. Çoğu son kullanıcı bu pazarlama mesajlarını, kancayı, ipi ve platinleri kabul edecektir.
Neden olmasınlar? Bitcoin, kripto ve merkezi olmayan finans için öğrenme eğrisi çok hızlıdır. İnsanlar dağa doğru güvenilir bir rehber arıyor. Ne yazık ki, donanım cüzdanı endüstrisi, kullanıcıları körü körüne bir uçurumun kenarına sürüklüyor; bu sadece kripto yatırımcıları için değil, çok geçmeden herkes için yıkıcı sonuçlar doğuruyor.
Kara kutunun içinde
Donanım cüzdanlarının sorunu ne? Başlamak için en iyi yer, neyi doğru yaptıklarını belirtmektir.
Kripto paranın ilk yılları, insanların çevrimiçi cüzdanlarda tuttukları için tüm yatırımlarını kaybetmelerine yol açan aylık hacklemeler, dolandırıcılıklar ve borsa iflasları hikayeleriyle işaretlendi. İnsanlar bunun yapabileceğiniz en güvensiz şey olduğunun farkında değildi; çoğu kişi aslında hiçbir zaman kripto para birimlerine sahip olmadıklarını, yalnızca onları kontrol eden anahtarlara sahip olduklarını anlamadı.
Donanım cüzdanları, insanların çevrimiçi borsalara ve diğer üçüncü taraflara güvenmeye zorlanmak yerine kendi güvenliklerinin sorumluluğunu almalarına olanak tanıyan, öz egemenlik yolunda çok önemli bir adımdı.
Ancak Ledger’ı gömmeye geldim, onu övmeye değil. Ve sadece Ledger değil; Cüzdan endüstrisinin çoğu aynı sorunu yaşıyor; kapalı kaynak, tescilli, “kara kutu” teknolojisi üzerine kurulu. Bu elbette açık kaynak temelleri üzerine inşa edilen ademi merkeziyetçilik devriminin ilkelerine ve pratikliklerine tamamen aykırıdır.
Bitcoin’in şafağında, donanım cüzdanı geliştiricileri, anahtarları güvence altına almak için onlarca yıllık akıllı kart teknolojisini (kredi kartınızdaki teknolojinin aynısı) benimsemeyi seçtiler. Bu miras, kara kutu, kapalı kaynak teknolojisi üzerine inşa etmenin bir sorun olduğu hiçbir zaman akıllarına gelmedi.
On yıldan fazla bir süre sonra hızla ilerlediğimizde, önde gelen donanım cüzdanı artık aşılmaz bir “duvarlarla çevrili bahçeye” dönüşmüştür. Ve şimdi, merkezi olmayan yönetim dünyayı ele geçirirken ve dijital ve finansal etkileşimin neredeyse her alanını dönüştürmeye hazırlanırken, endüstrinin kumdan bir güvenlik katmanı üzerine inşa edildiğinin farkına varıyoruz.
Duvarlarla çevrili bahçeler merkezi olmayan geleceğe uygun değil
Mobil bankacılık uygulamanızda “şişman parmak” hatası yaptığınızda bankanız hatayı düzeltip paranızı iade edecektir. Kriptoda bu işlem geri döndürülemez.
Bu nedenle güvenlik uzmanlarının, teknoloji ortaklarının ve tüketicilerin kendilerinin duvarın ötesine bakması, altta yatan teknolojiyi incelemesi ve ona güvenip güvenemeyeceğini değerlendirmesi çok önemlidir. Ancak bugün bir donanım cüzdanı satın aldığınızda ne alacağınızı bilmiyorsunuz.
Birincisi, Çin gibi kişisel güvenlik konusunda daha şövalyeci (ya da uğursuz) yaklaşımlara sahip bir ülkede üretilmiş olma ihtimali yüksektir. Önemli bir hata veya kimliğinizi veya paranızı çalacak kötü niyetli bir varlığa açılan bir arka kapı içerebilir.
Açıkçası bu, kripto sahibi olan herkes için büyük önem taşıyor; muhtemelen herkes omuz silkecektir. Dikkat etmeleri akıllıca olacaktır. Burnumuzun dibinde blockchain üzerinde yeni bir finans ve veri altyapısı inşa ediliyor; bankalar ve ödeme sağlayıcılar bu teknolojiler üzerinde halihazırda uygulamalar ve ödeme rayları sunuyor. Çok geçmeden hepimiz kriptografik anahtarlarla işlemleri imzalıyor olacağız.
Yoksa biz mi yapacağız? Cüzdanların duvarlarla çevrili bahçe yaklaşımı, bireylerin güvenliğinden daha fazlasını tehdit ediyor: aynı zamanda tüm merkezi olmayan ekonominin gelişimini de riske atıyor. Nedenini anlamak için Ledger’a tekrar bakalım. Her “uygulamanın” ana tohuma erişimi olduğundan her birinin Ledger tarafından incelenip onaylanması gerekir. Bu, inovasyon açısından berbat bir durum, blockchain’in açık kaynak ahlakına aykırı ve bu güvensiz cüzdan sağlayıcılarının eline daha fazla kontrol veriyor.
Tıpkı “ilk web”in merkezileşmeye yönelmesi ve benzersiz gücü Google ve Facebook gibi birkaç teknoloji devinin eline bırakması gibi, donanım cüzdanları da inanılmaz bir güvenlik açığı konsantrasyonunu temsil ediyor. Bunu nasıl düzeltebiliriz?
Açık bir geleceğe doğru
Kulağa çelişkili gelse de blockchain endüstrisi sağlam güvenliğin ancak açıklık yoluyla sağlanabileceği konusunda hemfikir. Açık kaynaklı, merkezi olmayan ağlar, açık ekosistemleri destekleyen açık kaynaklı donanım ve yazılımlarla güvence altına alınmalıdır.
Ve bugün de olabilirler. Yeni donanım mimarisi ve yeni nesil mikro çekirdek işletim sistemleri halihazırda tamamen açık kaynak yaklaşımını desteklemektedir. Bu yalnızca herkesin cihazın temel güvenliğini incelemesine ve değerlendirmesine olanak sağlamakla kalmaz; aynı zamanda herhangi bir geliştiricinin izinsiz olarak uygulama oluşturabilmesini ve gönderebilmesini sağlar. Kötü amaçlı veya bozuk uygulamalar, kendi sanal alanlarında yan yana yaşayabildikleri için başkalarını etkileyemezler.
Size cüzdan endüstrisinin neden güvenlik açıklarını artırdığını veya yenilikçiliği nasıl frenlediğini fark edemediğini anlatamam. Bunun tembellikten mi, hayal gücü eksikliğinden mi, yoksa kendi şöhretleriyle yetinmekten mi kaynaklandığını size söyleyemem. Ledger gibi cihazların Merkezi Olmayan Çağ’da güvenliğe yönelik en büyük tehdit olduğunu ve açık kaynak yenilikleri sayesinde bunların artık geçerliliğini yitirdiğini biliyorum.