İnsana Yönelik Saldırılar Artık Web3'ün En Tehlikeli Tehdidi, Rapor Buldu

Kaynak: CryptoNewsNet Orijinal Başlık: İnsan Hedefli Saldırılar Artık Web3'ün En Tehlikeli Tehdidi, Rapor Buldu Orijinal Bağlantı: Kerberus adlı bir Web3 güvenlik firması tarafından yayımlanan son rapor, insan davranışının artık Web3'teki birincil risk olduğunu önermektedir. Firmanın CEO'su Alex Katz ve CTO'su Danor Cohen, kullanıcıların neden saldırılara maruz kalmaya devam ettiğine ve kendilerini daha iyi korumak için ne yapabileceklerine dair görüşlerini paylaştılar.

İnsan Hatası Büyük Web3 Kayıplarına Neden Oluyor

En son “İnsan Faktörü – Gerçek Zamanlı Koruma, Web3 Siber Güvenliğinin Gözden Kaçan Katmanı (2025)” başlıklı raporunda, Kerberus, insan odaklı saldırıların Web3'teki en yapısal olarak tehlikeli vektör olduğunu ortaya koydu.

Rapor, endüstri kayıplarının önemli bir kısmının kullanıcı hatalarından kaynaklandığını gösteren verileri aktarıyor. 2024'teki kripto hırsızlıklarının yaklaşık %44'ü özel anahtarların yanlış yönetiminden kaynaklandı. Diğer bir araştırma, güvenlik ihlallerinin yaklaşık %60'ında insan hatasının rol oynadığını belirtmektedir.

2025 yılında 820 milyon aktif cüzdan ile tehdit alanı hızla genişliyor ve herkes risk altında. Katz, kötü niyetli kişilerin hem yeni başlayanları hem de deneyimli kullanıcıları hedef aldığını, ancak bunun çok farklı nedenlerden kaynaklandığını belirtti.

“Yeni kullanıcılar caziptir çünkü henüz 'normal' Web3 davranışının nasıl göründüğünü anlamıyorlar,” dedi.

İlginç bir şekilde, uzun süreli kullanıcılar, yeni kullanıcılara kıyasla giderek daha yüksek değerli hedefler haline geliyor. Ona göre:

“Kıdemli kullanıcılar, çok daha fazla dApp ile etkileşimde bulunur, daha fazla işlem imzalar ve daha büyük miktarlar hareket ettirir. Bu, bir anlık rehavetin çok daha fazla zarar verebileceği anlamına geliyor. Bu nedenle, bugün en riskli grup, riskte olmadıklarını varsayan herkes.”

Cohen, Web3'teki en büyük yanlış anlamalardan birinin, güvenlik başarısızlıklarının kullanıcıların teknolojiyi anlamamasından kaynaklandığı inancı olduğunu ekledi. Analizi bunun tersine işaret ediyor. İnsanlar, sistemin onlara gerçekçi olmayan bir yük yüklemesi nedeniyle hackleniyor.

“Kullanıcılar, 'Ben çok zeki olduğum için dolandırılmam, cüzdanların nasıl çalıştığını biliyorum - güvendeyim.' diye düşünüyorlar. Ama tehdit manzarası, kullanıcılardan daha hızlı değişiyor. Saldırganlar cüzdanınızı alt etmek istemiyor; sizi alt etmeye çalışıyorlar. Ve bu konuda son derece iyiler. İnsanların yanlış anladığı şey, Web3'ün birey üzerinde büyük bir bilişsel yük oluşturmasıdır. Kullanıcıların güvende kalmak için teknik sinyalleri çözmesi gerekmemeli - güvenlik otomatik olarak onların lehine çalışmalıdır.”

Neden Akıllı Web3 Kullanıcıları Sürekli Olarak Kandırılıyor

Bu insan kaynaklı riskler, 2025'te güvenliğe yapılan rekor harcamalara rağmen devam ediyor. Kerberus'un raporu, kripto ile ilgili hizmetlerin ve yatırımcıların yılın ilk yarısında hacklenme ve dolandırıcılık nedeniyle 3.1 milyar dolardan fazla kayıp yaşadığını bildirdi. Bu, 2024'ün tamamı için olan toplamdan daha fazla.

Bu sayı, büyük bir borsadaki tarihi bir ihlali içermektedir. Bunu hariç tutarsak, insan hedefli saldırılar, örneğin oltalama ve sosyal mühendislik, hala $600 milyon olarak hesaplanmakta ve kalan 1.64 milyar dolarlık kaybın %37'sini temsil etmektedir.

Rapor, bu saldırıların artan benimseme ile ölçeklendiğini ve teknik savunmaları tamamen atlattığını belirtmiştir. Bu durum, geleneksel güvenlik modellerinin bunları önlemesini zorlaştırmaktadır.

Şirketler denetim, izleme ve kod incelemelerine büyük yatırımlar yaparken, saldırganlar giderek işlemler düzeyinde kullanıcıları doğrudan istismar ediyor. Peki, insanları bu saldırılara karşı bu kadar savunmasız kılan nedir?

“İnsanlar savunmasızdır çünkü her dolandırıcılık, doğal psikolojik kısayolları — aciliyet, otorite, aşinalık, kaçırma korkusu veya rutinle rahatlık — istismar edecek şekilde tasarlanmıştır. Bunlar birer kusur değil; bunlar günlük hayatta işlev görmemizi sağlayan aynı içgüdülerdir. Sadece teknoloji insan psikolojisini değiştiremez, ancak psikolojinin silah haline getirildiği anı yakalayabilir,” diye açıkladı Cohen.

En güçlü koruma biçiminin, kullanıcıların yalnızca eğitimle hatalardan kaçınmalarına güvenmek değil, zararlı eylemleri gerçek zamanlı olarak durdurmak olduğunu vurguladı.

“Bu yüzden gerçek zamanlı tespit bu kadar önemlidir. Eğer bir kullanıcının güveninin manipüle edildiği anda ona uyarıda bulunabiliyorsanız, çoğu kaybı gerçekleşmeden durdurabilirsiniz.”

Yönetici, sıradan bir kullanıcının kötü niyetli bir dApp, bir airdrop veya bir mint sayfasını ayırt etmesini beklemenin gerçekçi olmadığını belirtti. Modern dolandırıcılık platformları genellikle meşru olanlarla yakından benzerlik gösteriyor, bu da onları neredeyse ayırt edilemez hale getiriyor.

Kullanıcılar, sahte bağlantılara tekrar tekrar tıklayabilirler, bu dikkatsizlikten değil, çünkü saldırılar kasıtlı olarak yanıltıcı bir şekilde hazırlanmıştır. Hatta gerçek zamanlı uyarılar bazen yanlış pozitif olarak görünebilir, bu da bu dolandırıcılıkların gelişmiş doğasını vurgular.

“Kullanıcılardan adli inceleme yapmaları beklenmemelidir. Yük, gerçek zamanlı olarak niyet ve davranış analizi yapan araçlara kaydırılmalıdır,” Cohen önerdi.

Rapor ayrıca bu saldırıların, kullanıcıların tehditleri değerlendirmekte en az yetenekli olduğu anları istismar ettiğini belirtmektedir. Bu, birinin iş yerinde dikkati dağılmışken cüzdanını kontrol etmesi, hesabının dondurulacağına dair acil bir mesaja tepki vermesi veya uzun bir günün sonunda yorgun olduğunda bir işlemi onaylaması durumunda gerçekleşebilir.

Bulgulara göre, sektördeki yanıtın büyük ölçüde daha fazla uyarı ve doğrulama adımı eklemek olduğu görülüyor. Ancak bu yaklaşım genellikle “güvenlik yorgunluğu” nedeniyle ters teper. Kullanıcılar sürekli uyarılara alıştıkça - bunların çoğu, onları yavaşlatan sahte alarmlar - dikkatli kararlar verme yetenekleri sürekli bilişsel baskı altında azalır.

Kullanıcıların Güvende Kalmak İçin Alabileceği 3 Önlem

Gerçek dünya kayıplarını azaltmak için Katz, kullanıcıların benimseyebileceği üç uygulamayı açıkladı:

• İmzalamadan önce duraklayın: Çoğu uzlaşma on saniyeden daha kısa sürede gerçekleşir. İsteği okumak veya isteğin amaçlanan eylemle uyumlu olup olmadığını onaylamak için bile kısa bir an ayırmak, başarılı saldırıların büyük bir kısmını önleyebilir.
• Yüksek değerli varlıkları günlük aktivitelerden ayırın: Birden fazla cüzdan kullanmak en etkili koruma yöntemlerinden biridir. Kullanıcılar uzun vadeli varlıklarını soğuk veya az temas eden bir cüzdanda tutmalı ve keşif, mintleme ve dApp'ler için ayrı bir cüzdan kullanmalıdır. Bu compartmentalization potansiyel zararı sınırlar.
• Gerçek zamanlı işlem korumasına güvenin: Çünkü birçok tehdit, teknik istismarlar yerine sosyal mühendislik ile ilgilidir, kullanıcılar on-chain eylemleri kesinleşmeden önce yorumlayan araçlardan faydalanır. Bu tek savunma katmanı, daha gelişmiş dolandırıcılıkların çoğunu engeller.

Niyet, kullanıcıları güvenlik uzmanlarına dönüştürmek değil, hataların finansal kayıplara dönüşmesini önleyen güvenlik önlemleri oluşturmaktır, diye vurguladı.