Kripto para borsası Coinbase, eski Commerce kullanıcılarına yönelik başlattığı cüzdan geçiş süreciyle ciddi bir güvenlik tartışmasının merkezine yerleşti. 31 Mart 2026 tarihinde sona erecek olan eski Commerce cüzdanlarının kapatılma planı kapsamında borsa, kullanıcıların varlıklarını çekmeleri için bir "tohum ifadesi" (seed phrase) kurtarma akışı oluşturdu. Ancak bu yöntem, sektördeki siber güvenlik uzmanları tarafından büyük bir risk olarak değerlendiriliyor.
Coinbase, Google Drive üzerinden yedekleme yapan kullanıcıların Commerce paneline giriş yaparak 12 kelimelik kurtarma ifadelerini görüntülemelerini ve resmi "withdraw.commerce.coinbase.com" aracı üzerinden varlıklarını çekmelerini öneriyor. Şirket, bu sürecin özellikle Bitcoin ve UTXO tabanlı varlıkların standart cüzdanlarda görünürlüğünü sağlamak için kritik olduğunu belirtiyor. Ancak bu talimat, kripto dünyasının temel güvenlik kurallarıyla doğrudan çelişiyor.
Güvenlik Uzmanlarından "Kimlik Avı" Uyarısı
Blockchain güvenlik firması SlowMist'in kurucusu Yu Xian, Coinbase gibi kurumsal bir yapının kullanıcılardan tohum ifadelerini düz metin olarak girmelerini istemesinin son derece güvensiz olduğunu belirtti. Uzmanlar, bu uygulamanın kripto dünyasında yıllardır "asla paylaşılmamalı" diye öğretilen temel güvenlik prensibini yıktığı görüşünde birleşiyor. Özellikle SlowMist CISO'su 23pds, bu tür bir akışın saldırganlar için bir "kimlik avı şablonu" oluşturabileceği konusunda uyardı.
Eleştirilerin odak noktası şu üç başlıkta toplanıyor:
- Güvenlik Algısının Bozulması: Kullanıcılara yıllardır tohum ifadelerini hiçbir siteye girmemeleri öğretilirken, resmi bir platformun bu yöntemi teşvik etmesi, kullanıcıların gelecekteki dolandırıcılık girişimlerine karşı savunmasını zayıflatıyor.
- Taklit Riski: Resmi bir sitenin bu yöntemi kullanması, saldırganların benzer arayüzlere sahip sahte domainler oluşturarak kullanıcıları kandırmasını kolaylaştırıyor.
- Sosyal Mühendislik: Blockchain araştırmacısı ZachXBT, bu uygulamanın kötü niyetli aktörler tarafından sosyal mühendislik saldırıları için bir "kullanım kılavuzu" olarak görülebileceğine dikkat çekiyor.
Coinbase'in Geçmişi ve Sorumluluk Tartışması
Coinbase tarafı, Commerce cüzdanlarının "self-custodial" (kullanıcı kontrollü) yapıda olduğunu ve borsa olarak bu cüzdanlara veya tohum ifadelerine erişimlerinin bulunmadığını savunuyor. Bu durum, kullanıcıları kendi varlıklarını yönetmek zorunda bıraksa da, güvenlik uzmanları kurumsal bir platformun kullanıcıları bu kadar riskli bir sürece zorlamasının kabul edilemez olduğunu vurguluyor. Özellikle Coinbase'in geçmişte yaşadığı ve çalışanların rüşvet yoluyla manipüle edildiği veri ihlalleri göz önüne alındığında, kullanıcıların bu tür süreçlere karşı temkinli olması gerektiği belirtiliyor.
Sonuç olarak, kripto varlıkların güvenliği söz konusu olduğunda en küçük bir ihmal bile geri dönüşü olmayan kayıplara yol açabiliyor. Coinbase'in bu geçiş süreci, teknolojik kolaylık ile güvenlik disiplini arasındaki ince çizgide, kullanıcıların kendi dijital varlıklarını koruma sorumluluğunun ne kadar hayati olduğunu bir kez daha hatırlatıyor.
