Coinbase 'İnanılmaz' Tohum Cümlesi Kurtarma Süreci Nedeniyle Eleştirildi

Coinbase'in 'İnanılmaz' Kurtarma Yöntemi Güvenlik Tepkisine Yol Açtı

19 Mart'ta kıdemli bir güvenlik araştırmacısı, Coinbase'i kullanıcıların tüm anımsatıcı tohum cümlelerini düz metin olarak girmelerini isteyen bir cüzdan kurtarma özelliği nedeniyle açıkça eleştirdi. Blockchain güvenlik firması SlowMist'in kurucusu Yu Xian, sosyal medyada bu uygulamayı "inanılmaz" olarak nitelendirerek temel bir güvenlik riskini vurguladı. Bir kullanıcıdan anahtarını bir web formuna yazmasını veya yapıştırmasını istemek, onu pano saldırılarına, keylogger'lara ve kimlik avı şemalarına maruz bırakır, böylece tohum cümlesini her zaman çevrimdışı tutma temel güvenlik ilkesini fiilen ortadan kaldırır. Bu tasarım seçimi, dijital ortamı güvence altına alma sorumluluğunu tamamen kullanıcıya yükler ve bu, teknik olarak yetenekli bireyler için bile önemli bir başarısızlık noktasıdır.

Tohum Cümlesi Güvenlik Açığı, İddia Edilen 176 Milyon Dolarlık Bitcoin Hırsızlığını Mümkün Kılıyor

Açığa çıkan tohum cümleleriyle ilişkili kesin riskler, yakın zamanda Birleşik Krallık Yüksek Mahkemesi'nde görülen bir davayla çarpıcı bir şekilde ortaya kondu. Davacı Ping Fai Yuen, eşinin güvenlik kamerasını gizlice kullanarak tohum cümlesini ve cüzdan bilgilerini kaydederek yaklaşık 176 milyon dolar değerinde 2.323 Bitcoin çaldığını iddia ediyor. Mahkeme belgeleri, fonların daha sonra Aralık 2023'te 71 farklı adrese aktarıldığını gösteriyor. Bu dava, fiziksel yakınlığın bile bir tohum cümlesi görsel olarak açığa çıktığında nasıl tehlikeye atılabileceğine dair dramatik, gerçek dünya bir örnek sunuyor. İddia edilen hırsızlık, kurtarma süreçlerinin kullanıcıların ana gizli anahtarlarını herhangi bir dijital veya gözlemlenebilir biçimde ifşa etmesini gerektirmeyen kritik ihtiyacını vurguluyor.

Endüstri, Passkey Teknolojisiyle 'Tohumbuz' Cüzdanlara Yöneliyor

Kullanıcı tarafından yönetilen tohum cümlelerinin doğal zayıflıklarına doğrudan yanıt olarak, endüstri daha sağlam kimlik doğrulama yöntemlerine doğru ilerliyor. Bitcoin altyapı firması Breez, yakın zamanda Passkey Girişini SDK'sına entegre etti ve geliştiricilerin rutin erişim için geleneksel 12 kelimelik ifadelere dayanmayan kendi kendine saklama cüzdanları oluşturmasına olanak tanıdı. FIDO2 WebAuthn standardına dayanan bu teknoloji, kullanıcıları doğrulamak ve anahtarları türetmek için Face ID veya parmak izi taramaları gibi cihaz içi biyometrikleri kullanır. Özel anahtar, Apple'ın Secure Enclave'i veya Android'in Titan çipi gibi cihazın güvenli donanımından asla ayrılmaz ve onu çevrimiçi tehditlerden korur. Bu değişim, güvenlik modelini tanıdık cihaz düzeyindeki korumaların etrafında yeniden yapılandırarak, kendi kendine saklamayı ana akım kullanıcılar için daha güvenli ve daha erişilebilir hale getirmeyi amaçlıyor.