Önemli Çıkarımlar

• Güçlü Güvenlik Önlemleri: XT.COM, kullanıcı varlıklarını korumak için 2FA, soğuk cüzdan, rezerv fonları ve penetrasyon testleri uygulamaktadır.
• Kasım 2024 İhlali ve Yanıt: 1,7 milyon dolarlık bir ihlale rağmen XT.COM para çekme işlemlerini durdurdu, kullanıcıların fonlarının güvende olduğunu garanti etti ve gelecekteki olayları önlemek için bir soruşturma başlattı.
• Sektör Bağlamı ve Son Saldırılar: ByBit’teki 1,5 milyar dolarlık saldırı ile Phemex ve WazirX’teki ihlaller, Lazarus Grubu da dahil olmak üzere hackerların artık gelişmiş kullanıcı arayüzü aldatma teknikleriyle çoklu imza “soğuk cüzdan” çözümlerini hedef aldığını göstermektedir.
• Binance ile Karşılaştırma: Binance’in kurucu ortağı CZ, ihlal durumunda zararın değerlendirilmesi için para çekme işlemlerinin durdurulmasını önerirken, şeffaf CEO’ları övüyor ve hiçbir güvenlik önleminin kesin olmadığını vurguluyor.
• Gelecek Güvenlik İyileştirmeleri: XT.COM, Merkle Ağacı Rezerv Kanıtı uygulamayı, cüzdan güvenliğini artırmayı, çoklu imza denetimini güçlendirmeyi ve siber güvenlik iş birliklerini geliştirmeyi planlamaktadır.

Kripto para alım satımı hızla büyüyerek hem yatırımcıları hem de siber suçluları kendine çekmiştir. Borsalar fonları korumak, güveni sürdürmek ve yasal gerekliliklere uymak için güçlü güvenlik önlemlerine sahip olmalıdır. 2018 yılında kurulan ve Seyşeller’de kayıtlı olan XT.COM, 1.000’den fazla dijital varlığı listelemekte ve güvenlik duruşunu sürekli olarak güçlendirmek için çalışmaktadır. Bu yazı XT.COM’un güvenlik önlemlerini, Kasım 2024’te yaşanan güvenlik ihlalini ve gelecekteki kullanıcı koruma stratejilerini, geçmişteki saldırılarla karşılaştırmalı olarak incelemektedir.

---

İçindekiler

Neden Borsa Güvenliği Önemlidir?

XT.COM’a Genel Bakış

XT.COM’daki Temel Güvenlik Önlemleri

• İki Aşamalı Kimlik Doğrulama (2FA)
• Soğuk Cüzdan Çözümleri
• Rezerv Sigorta Fonu
• AML ve KYC Prosedürleri
• Penetrasyon Testleri ve Ödüllü Açık Avı Programları

Kasım 2024 Güvenlik İhlali

• Anında Alınan Önlemler ve Sınırlama Çalışmaları
• Soruşturma ve Çıkarılan Dersler

Son Dönemde Sektör Genelinde Yaşanan Saldırılar: ByBit, Phemex ve WazirX

Geçmiş Kripto Borsa İhlalleri: Genel Bağlam

Yanıt Stratejilerinin Karşılaştırılması: XT.COM vs. Binance

Planlanan Güvenlik Güncellemeleri

• Merkle Ağacı Rezerv Kanıtı
• Sürekli Altyapı İyileştirmeleri
• Siber Güvenlik Firmaları ve Kolluk Kuvvetleri ile İş Birliği

Kullanıcılar İçin Kişisel Güvenliği Artırma İpuçları

İnovasyon ile Risk Yönetimi Arasındaki Dengenin Korunması

---

Borsa Güvenliği Neden Önemlidir?

Borsalar genellikle büyük miktarda kripto para tutar ve bu da onları hackerlar için cazip hedefler haline getirir. Tek bir güvenlik ihlali bile büyük mali kayıplara yol açabilir, kullanıcı güvenini sarsabilir ve tüm kripto ekosistemine zarar verebilir. Ayrıca, dünya genelindeki düzenleyiciler, kara para aklama ve diğer yasa dışı faaliyetlerle mücadele etmek için kapsamlı AML/KYC uyumluluğu beklemektedir.

Hızla büyüyen bir platform olarak XT.COM, güvenlik denetimlerine, gerçek zamanlı savunmalara ve rezerv mekanizmalarına büyük yatırımlar yapmaktadır. Ancak, özellikle ByBit’in 1,5 milyar dolarlık saldırısı gibi son dönemdeki büyük çaplı hack olayları, siber saldırı yöntemlerinin ne kadar hızlı gelişebileceğini göstermektedir. Bu nedenle borsalar, protokollerini sürekli güncellemeli, personelini eğitmeli ve sektördeki en iyi uygulamaları benimseyerek daima tetikte olmalıdır.

Görsel Kaynağı: Token Metrics

---

XT.COM’a Genel Bakış

2018 yılında Seyşeller’de kayıtlı olarak faaliyete başlayan XT.COM kısa sürede Bitcoin ve Ethereum gibi büyük kripto paralardan yeni çıkan token’lara kadar uzanan 1.000’den fazla dijital varlık ile yatırımcıları kendine çekmiştir.

Öne Çıkan Özellikler:

• Kullanıcı Dostu Arayüz: Hem yeni başlayanlar hem de deneyimli yatırımcılar için uygundur.
• Çeşitli İşlem Seçenekleri: Geniş piyasa erişimi sunan birçok işlem çifti bulunmaktadır.
• Rekabetçi Komisyonlar: Hem bireysel yatırımcıları hem de yüksek hacimli işlemleri desteklemek için tasarlanmıştır.
• Müşteri Desteği: Yardım merkezi ve doğrudan destek hizmetleri sunar.

Bu özellikler XT.COM’un popülerliğini artırırken platformun en büyük avantajı güçlü güvenlik önlemleridir. Çok katmanlı kimlik doğrulama ve sıkı fon saklama yöntemleri, kullanıcı varlıklarını koruma konusunda temel unsurlardır.

---

XT.COM’daki Temel Güvenlik Önlemleri

İki Aşamalı Kimlik Doğrulama (2FA)

En basit ancak en etkili güvenlik yöntemlerinden biri İki Aşamalı Kimlik Doğrulama (2FA)‘dır. XT.COM, çeşitli 2FA seçenekleri sunmaktadır:

• Google Authenticator: Zaman kısıtlı giriş kodları üreten uygulama tabanlı bir sistemdir. Hesap ele geçirme riskini büyük ölçüde azaltır.
• SMS ve E-posta Doğrulama: Kullanıcılar,giriş yaparken ek bir doğrulama katmanı olarak SMS veya e-posta yoluyla kod alır.

Google Authenticator, oltalama (phishing) saldırılarına ve SIM kart değişimi (SIM-swap) saldırılarına karşı daha güçlü bir koruma sağlasa da herhangi bir 2FA yönteminin etkinleştirilmesi hiç kullanmamaktan çok daha güvenlidir. XT.COM tüm kullanıcılarına hesap oluşturdukları anda en az bir 2FA yöntemini etkinleştirmelerini tavsiye etmektedir. Ayrıca 2FA ayarlarını düzenli olarak gözden geçirmek ve güncellemek, cihaz güvenliği tehditlerine karşı ek bir önlem sağlar.

Soğuk Cüzdan Çözümleri

XT.COM,kullanıcı varlıklarının büyük bir kısmını soğuk cüzdanlarda saklamaktadır. Bu cüzdanlar çevrimdışı tutulduğu için internet bağlantılı “sıcak cüzdanları” hedef alan hacker saldırılarından etkilenmezler. Günlük işlemler ve para çekme işlemleri için sıcak cüzdanlarda sınırlı miktarda fon bulundurularak büyük çaplı hırsızlık riski en aza indirilir.

Etkili bir soğuk cüzdan yönetimi aşağıdaki güvenlik protokollerini gerektirir:

• Güvenli Tesisler: Fiziksel donanım veya hava boşluklu (air-gapped) bilgisayarlar korunan ortamlarda saklanır.
• Erişim Kısıtlamaları: Özel anahtarları yönetme yetkisi sınırlı sayıda yetkili personelle sınırlandırılmıştır.
• Düzenli Denetimler: Saklanan varlıkların bütünlüğünü ve erişilebilirliğini doğrulamak için periyodik kontroller yapılır.

Soğuk cüzdanlar, para çekme işlemlerini biraz yavaşlatabilse de kripto sektöründe en iyi güvenlik uygulamalarından biri olarak kabul edilmektedir.

Rezerv Sigorta Fonu

XT.COM’un güvenlik stratejisinin bir diğer kritik bileşeni rezerv sigorta fonudur. Bu fon, acil durumlarda kullanıcı varlıklarını korumak ve likiditeyi sağlamak amacıyla oluşturulmuştur. XT.COM, kullanıcı mevduatlarının toplam değerinin 1,5 katı kadar rezerv bulundurduğunu belirterek, beklenmedik olaylarda bile kullanıcı fonlarının korunacağını garanti etmektedir.

Bu ek likidite, şu avantajları sağlar:

• Acil Durum Kapsamı: Siber saldırılar veya ani piyasa dalgalanmaları durumunda zararların karşılanmasına yardımcı olur.
• Risk Azaltma: Ani finansal şoklara karşı platformun istikrarını korur.

Her ne kadar rezerv fonları tek başına güvenlik ihlallerini önleyemese de olası kayıpları azaltarak XT.COM’un kullanıcılarını koruma konusundaki kararlılığını göstermektedir.

AML ve KYC Prosedürleri

XT.COM, küresel düzenleyici standartlara uyum sağlamak ve yasa dışı faaliyetleri önlemek amacıyla Kara Para Aklamayı Önleme (AML) ve Müşterini Tanı (KYC) politikalarını sıkı bir şekilde uygulamaktadır. Kullanıcılar genellikle:

• Pasaport, sürücü belgesi veya kimlik kartı gibi kişisel kimlik belgelerini ibraz etmelidir.
• Gerekirse ikametgah belgesi veya diğer ek belgeler sunmalıdır.
• Şüpheli işlemler için sürekli izleme prosedürlerine tabi tutulmalıdır.

Bu önlemler kara para aklama ve terör finansmanı gibi yasa dışı faaliyetleri tespit etmeyi ve engellemeyi amaçlamaktadır. AML ve KYC protokolleri, hesap açma ve işlem süreçlerine ek adımlar getirse de, yasal yatırımcılar için daha güvenli bir ticaret ortamı oluşturur.

Penetrasyon Testleri ve Ödül Programları

CER.live kripto para borsalarının güvenliğini değerlendiren bir platform olarak, XT.COM’a 100 üzerinden 76 puan vermiştir. Bu puanın yüksek olmasının sebeplerinden biri, borsanın düzenli penetrasyon testleri ve ödül programları yürütmesidir:

• Penetrasyon Testleri: Profesyonel güvenlik ekipleri sistemdeki zayıflıkları tespit etmek için siber saldırıları simüle eder.
• Ödül Programları: XT.COM bağımsız güvenlik araştırmacılarını güvenlik açıklarını bildirmeye teşvik etmek için finansal ödüller sunar.

Bu önlemler, XT.COM’un güvenlik risklerine karşı hazırlıklı olmasını sağlarken, potansiyel saldırganların bir adım önünde olmasını sağlar.

---

Kasım 2024 Güvenlik İhlali

Tüm bu güvenlik önlemlerine rağmen, XT.COM Kasım 2024’te büyük bir güvenlik ihlali yaşadı. Bu saldırıda, yaklaşık 1,7 milyon dolar değerinde kripto para çalındı. Hacker’lar, ele geçirdikleri fonları 461,58 ETH’ye (Ether) çevirerek harici bir cüzdana aktardı.

Acil Önlemler ve Kontrol Süreci

XT.COM saldırıyı fark eder etmez tüm para çekme işlemlerini durdurdu ve daha fazla kaybın önüne geçti. Bu hızlı müdahale uzun süreli bir saldırının yol açabileceği daha büyük zararları önledi.

Borsa topluluğa hızlı bir şekilde çalınan fonların kullanıcı hesaplarından değil, platformun kendi rezervlerinden karşılandığını duyurdu. Bu durum, bireysel kullanıcı bakiyelerinin doğrudan etkilenmediği anlamına geliyordu. XT.COM ayrıca, kullanıcı mevduatlarının 1,5 katı kadar rezerv bulundurduğunu vurgulayarak, finansal istikrarını koruduğunu belirtti.

Soruşturma ve Çıkarılan Dersler

XT.COM ihlali kontrol altına aldıktan sonra, siber güvenlik uzmanları ve muhtemelen kolluk kuvvetleriyle iş birliği yaparak kapsamlı bir soruşturma başlattı. Soruşturmanın amaçları şunlardı:

• Zayıf Noktaları Belirlemek: Saldırganların XT.COM sisteminden nasıl fon çıkardığını tespit etmek.
• Tekrarını Önlemek: Güvenlik açıklarını gidermek ve operasyonel protokolleri güçlendirmek.
• Şeffaflığı Koruma: Kullanıcılara ve yatırımcılara düzenli bilgi vererek güveni yeniden tesis etmek.

Güvenlik ihlali, sektör genelindeki olaylarla karşılaştırıldığında nispeten küçük olsa da, sürekli iyileştirmelerin ve hızlı, kararlı eylemlerin gerekliliğini bir kez daha ortaya koydu.

---

Sektör Genelindeki Son Hack Saldırıları: ByBit, Phemex ve WazirX

Çoklu İmza (Multi-Sig) Saldırı Altında

ByBit’te gerçekleşen 1,5 milyar dolarlık saldırıda, hackerlar—iddialara göre Lazarus Grubu—bir multi-sig soğuk cüzdanı hedef aldı ve ön yüz kullanıcı arayüzünü manipüle ederek sistemin sahte bir işlemi “meşru” olarak görmesini sağladı. Kullanıcılar (ve sistem) işlemin doğru olduğunu düşünürken, imzalama süreci aslında fonları saldırganların adreslerine yönlendirdi. Benzer sömürü yöntemlerinin Phemex ve WazirX’i de etkilediği bildiriliyor.

Gelişmiş Saldırı Yöntemleri

Bu saldırıları özellikle endişe verici hale getiren şey, farklı multi-sig sağlayıcılarının da hedef alınmış olmasıdır. Saldırganların donanım cihazlarını, sunucu altyapısını veya her ikisini birden aşıp aşmadığı henüz net değil. Ancak bu kadar sofistike saldırılar, sektör genelinde ciddi bir uyarı niteliği taşıyor.

CZ’nin Görüşü

ByBit saldırısına yanıt olarak Binance’in kurucu ortağı CZ, para çekme işlemlerinin durdurulmasını önererek, “Tam olarak ne olduğunu anladığımızdan emin olmalıyız” dedi ve bu sayede devam eden hırsızlıkların önlenebileceğini belirtti. CZ, para çekme işlemlerinin durdurulmasının paniğe yol açabileceğini kabul etse de, geçmişte bunun yararlı olduğunu (örneğin Binance’in 2019’daki 40 milyon dolarlık hack saldırısı sırasında) vurguladı. Ayrıca, güvenlik olaylarında şeffaf iletişimi övdü ve diğer bazı platformların daha kapalı tepkileriyle kıyasladı.

Görsel Kaynağı: CZ Official X (Twitter)

---

Tarihsel Kripto Borsa İhlalleri: XT.COM Olayının Bağlamı

Her güvenlik ihlali endişe verici olsa da XT.COM’un Kasım 2024’te yaşadığı olay, daha büyük çaplı kripto borsa saldırıları ile karşılaştırıldığında daha küçük ölçekte kalmaktadır. Son on yılda birçok büyük platform büyük siber saldırılar yaşamış ve ciddi mali kayıplar vermiştir:

• Mt. Gox (2014): Kripto tarihinin en kötü şöhretli saldırılarından biri olarak kabul edilen bu olayda, Mt. Gox yaklaşık 850.000 BTC kaybetti. O dönemde yüz milyonlarca dolar değerinde olan bu kayıp, bugünkü fiyatlarla milyarlarca dolara denk gelmektedir.
• Coincheck (2018): Tokyo merkezli borsa, yaklaşık 530 milyon dolar değerinde NEM (XEM) tokeni kaybetti ve bu olay, tarihteki en büyük tekil saldırılardan biri olarak kayıtlara geçti.
• KuCoin (2020): Hacker’lar, KuCoin’den yaklaşık 275 milyon dolar değerinde çeşitli kripto para çaldı. Ancak borsa, fonların bir kısmını geri almayı başardı.
• Poly Network (2021): Bir cross-chain protokol saldırısı sonucunda 600 milyon dolardan fazla dijital varlık çalındı. Çalınan fonların çoğu müzakereler sonucunda iade edilse de, bu olay merkeziyetsiz finans (DeFi) platformlarının nasıl sömürülebileceğini gözler önüne serdi.

Bu ihlallerin her biri yüz milyonlarca hatta milyarlarca dolar değerinde kayıplara yol açarak kripto dünyasında siber saldırıların ne kadar yıkıcı olabileceğini gösterdi. XT.COM’un 1,7 milyon dolarlık güvenlik ihlali, küçük ölçekli bir olay olsa da platformun hızlı tepki vererek sorunu kontrol altına alması ve güvenlik risklerini yönetmedeki yetkinliği dikkat çekicidir.

Görsel Kaynağı: Bitcoin.com

---

Yanıt Stratejilerinin Karşılaştırılması: XT.COM vs. Binance

Para Çekme İşlemlerinin Durdurulması

• XT.COM: Güvenlik ihlalini tespit eder etmez para çekme işlemlerini durdurdu ve güvenlik sağlandıktan sonra işlemleri yeniden açtı.
• Binance: 2019’da 40 milyon dolarlık bir hack saldırısının ardından benzer şekilde para çekme işlemlerini bir hafta boyunca durdurdu. İlginç bir şekilde, para çekme işlemleri yeniden açıldığında kullanıcı güveninin devam ettiğini gösteren şekilde yatırılan fonlar çekilenlerden fazla oldu.

İletişim ve Şeffaflık

• XT.COM: Kullanıcılara sürekli güvence vererek platformun rezerv fonunun zararı karşıladığını açıkça belirtti.
• Binance (CZ): Doğrudan iletişime önem veriyor ve dürüst liderliği övüyor. Ayrıca, her olayın kendine özgü olduğunu ve her CEO’nun gerçek zamanlı bilgilere dayanarak en iyi kararı vermesi gerektiğini vurguluyor.

Rezerv Fonları

• XT.COM: Aşırı durumlarda ödeme gücünü korumak için 1,5 katlık bir rezerv bulunduruyor.
• Binance: Kullanıcı fonlarını acil durumlarda korumak için özel bir SAFU fonu oluşturmuş durumda.

---

Planlanan Güvenlik Güncellemeleri

Merkle Ağacı Rezerv Kanıtı

XT.COM, Merkle Ağacı Rezerv Kanıtı sistemini uygulayarak kullanıcıların hassas bilgiler açığa çıkmadan zincir üzerindeki varlıklarını bağımsız olarak doğrulamalarını sağlayacak. Bu şeffaflık, borsanın ödeme gücüne olan güveni artıracaktır.

Sürekli Altyapı Geliştirmeleri

Çoklu İmza Protokollerinin Güçlendirilmesi

• ByBit saldırısından alınan dersler doğrultusunda XT.COM, çoklu imza (multi-sig) süreçlerini iyileştirerek arayüz manipülasyonlarını en aza indirmeyi ve çevrimdışı anahtar yönetimini güçlendirmeyi planlıyor.

Gerçek Zamanlı Tehdit Tespiti

• Binance’in yapay zeka destekli güvenlik sistemine benzer şekilde, XT.COM gelişmiş güvenlik duvarları ve saldırı tespit sistemleri konuşlandırarak olağan dışı işlem modellerini anında tespit etmeyi hedefliyor.

Erişim Kontrolleri ve Eğitim

• Personel yetkilendirmeleri sıkılaştırılacak ve iç tehditleri önlemek için düzenli sosyal mühendislik simülasyonları yapılacak.

Siber Güvenlik Firmaları ve Kolluk Kuvvetleri ile İş Birliği

• Sürekli penetrasyon testleri yapmak için özel siber güvenlik firmalarıyla iş birliği yapılacak.
• Çalınan fonların hızlıca kurtarılmasını sağlamak amacıyla Binance’in kurucusu CZ’nin önerdiği gibi küresel çapta kolluk kuvvetleriyle ilişkiler güçlendirilecek.
• Ödüllü açık avı (bug bounty) programı sürdürülecek, böylece etik hackerların güvenlik açıklarını kötü niyetli aktörlerden önce bildirmesi teşvik edilecek.

Görsel Kaynağı: BitPanda

---

  Kullanıcılar İçin Güvenlik Önerileri: Kişisel Güvenliği Artırma

  En güvenli borsa bile kullanıcıların kendi hesaplarını korumasına bağlıdır:

• 2FA’yı Etkinleştirin: Oltalama (phishing) saldırılarına karşı daha güçlü koruma sağladığı için tercihen Google Authenticator kullanın.
• Güçlü ve Benzersiz Şifreler Kullanın: Aynı şifreyi birden fazla platformda kullanmaktan kaçının.
• Oltalama Saldırılarına Dikkat Edin: Şüpheli bağlantıları ve alan adlarını tıklamadan önce doğrulayın.
• Hesap Hareketlerini Takip Edin: Giriş geçmişinizi işlemlerinizi ve para çekme işlemlerinizi düzenli olarak kontrol edin.
• Güncel Kalın: XT.COM’un resmi duyurularını ve CZ gibi güvenilir sektör liderlerinin paylaşımlarını takip ederek en son güvenlik güncellemelerinden haberdar olun.

---

  İnovasyon ile Risk Yönetimi Arasındaki Dengeyi Kurmak

Kasım 2024’te XT.COM’daki güvenlik ihlali ve ByBit, Phemex ve WazirX’teki çoklu imza saldırıları, şu gerçeği ortaya koyuyor: Ne kadar güçlü olursa olsun, hiçbir güvenlik önlemi gelişen hacker taktiklerine karşı tamamen bağışık değildir. Sürekli uyum sağlamak ve gerekirse operasyonları geçici olarak durdurmaya istekli olmak, saldırı vektörlerini tespit etmek ve daha fazla zararı önlemek için kritik öneme sahiptir.

XT.COM’un Merkle Ağacı Rezerv Kanıtı, daha gelişmiş çoklu imza denetimi ve yapay zeka destekli dolandırıcılık tespiti gibi sürekli güvenlik iyileştirmeleri, platformun proaktif güvenlik taahhüdünü göstermektedir. Sonuç olarak, bir borsanın itibarı, hem kullanıcılarını koruma yeteneğine hem de sorunlar karşısında şeffaf hareket etmesine bağlıdır. Binance ve diğer önde gelen platformlardan en iyi uygulamaları benimseyerek, XT.COM kullanıcı fonlarını koruma ve dijital varlıklara geniş erişim sağlama misyonunu sürdürüyor.

---

XT.COM Hakkında

2018 yılında kurulan XT.COM, şu anda 8 milyondan fazla kayıtlı kullanıcıya, 1.000.000’den fazla aylık aktif kullanıcıya ve ekosistemde 40 milyonun üzerinde kullanıcıya hizmet vermektedir. Kapsamlı işlem platformumuz, 800’den fazla güvenilir token ve 1000’den farklı işlem çiftini desteklemektedir. XT.COM kripto para borsası, spot işlem, margin işlem ve futures işlemlerinin yanı sıra entegre bir NFT pazar yeri gibi çeşitli alım satım seçeneklerini destekler. Platformumuz, geniş kullanıcı kitlemize sorunsuz ve güvenilir bir işlem deneyimi sunmayı amaçlamaktadır.