Borsada Güvenlik Ayarları Checklist: Whitelist, Çekim Kilidi ve API Key Yönetimi

Kripto borsalarında güvenlik “tek bir ayar” değil, birbirini tamamlayan küçük kilitlerin toplamı. Bir kilit atlanırsa saldırganın işi kolaylaşır; birkaç kilit üst üste geldiğinde ise aynı saldırı senaryosu pratikte boşa düşer. Bu rehberde, borsa hesabını ele geçirme girişimlerini gerçekçi adımlara böleceğiz ve her adımı nasıl kapatacağını uygulama mantığıyla anlatacağız.

Odak noktamız üç alan: çekim güvenliği (whitelist + çekim kilidi), giriş güvenliği (2FA + cihaz/onay + anti-phishing) ve otomasyon güvenliği (API key yönetimi). Okurken “benim borsamda bu menü yok” diyebilirsin; isimler değişse de mantık aynı kalır. Her bölümde, “neden gerekli” ve “nasıl kurulur” sorusunu birlikte cevaplayacağız.

Tehdit modeli: borsa hesabı nasıl ele geçirilir?

Güvenlik ayarlarını doğru kurmanın ilk adımı, saldırganın hangi yollardan ilerlediğini net görmek. Borsa hesabı ele geçirmelerin büyük kısmı “şifreyi tahmin etmekten” değil, kimlik avı (phishing), cihaz ele geçirme ve kimlik doğrulama zincirindeki zayıf halkalardan gelir. Örnek bir zincir: sahte bir giriş sayfası → kullanıcı şifreyi girer → saldırgan gerçek borsaya giriş dener → SMS 2FA varsa SIM swap ile kod alınır → çekim yapılır. Bu zincirde tek bir halkayı güçlendirmek bile sonucu değiştirir; iki halkayı güçlendirmek ise saldırganın maliyetini katlar.

Buradaki kritik ayrım şu: “Giriş” ve “çekim” farklı risk seviyeleri taşır. Birinin parolanı ele geçirmesi, tek başına her zaman para çekebileceği anlamına gelmez; çekim whitelist ve çekim kilidi gibi ayarlar, giriş çalınsa bile fonların çıkmasını zorlaştırır. Yeni başlayanların çoğu, ilk işlemden sonra güvenlik menüsüne bir daha bakmıyor; halbuki ilk hafta yapılan 20–30 dakikalık ayarlar, aylar sürecek bir güvenlik tabanı kurar. İlk kez Bitcoin alan kullanıcıların en sık atladığı nokta da bu “ilk kurulum” evresi.

Tehdit modelini pratikleştirmek için kendine 3 soruluk mini test yap: (1) E-posta hesabın ele geçse, borsadaki çekimleri durduracak kaç kilidin var? (2) Telefon hattın kopyalansa, SMS 2FA’nın önemi kalıyor mu? (3) Tarayıcı eklentin kötü niyetli çıksa, saldırgan hangi onay adımlarına takılır? Bu soruların cevabı net değilse, aşağıdaki bölümleri “iş listesi” gibi sırayla uygulamak en verimli yaklaşım.

2FA stratejisi: SMS’ten authenticator’a geçiş ve yedekler

2FA (iki faktörlü doğrulama) tek bir seçenek gibi görünse de aslında güvenlik seviyeleri arasında büyük fark var. SMS 2FA, “hiç yoktan iyi” olsa da SIM swap (hat kopyalama), numara taşıma saldırıları ve operatör tarafındaki sosyal mühendislik risklerine açık. Authenticator uygulaması (TOTP) bu riski ciddi biçimde azaltır çünkü doğrulama kodu telefon hattına değil, cihaz içindeki gizli anahtara dayanır. İdeal senaryoda, borsa girişinde “şifre + authenticator” olur; çekim sırasında ise ayrıca bir onay katmanı (çekim şifresi, e-posta onayı veya cihaz onayı) devreye girer.

Geçiş planını 6 adımda kur: (1) Authenticator eklemeden önce e-posta şifreni ve borsa şifreni yenile. (2) Authenticator’ı kur ve borsanın verdiği yedek kodları (recovery codes) al. (3) Yedek kodları ekran görüntüsü olarak galeride tutma; şifreli bir kasaya veya çevrimdışı bir not saklama çözümüne koy. (4) Borsa “2FA reset” için kimlik doğrulama istiyorsa, hesabındaki kimlik bilgilerini güncel tut. (5) SMS 2FA kapatma seçeneği varsa, authenticator sorunsuz çalıştığından emin olduktan sonra SMS’i devreden çıkar. (6) Son olarak, bir kez çıkış yapıp tekrar giriş deneyerek kurulumunu test et.

Yedekler kısmı genelde ihmal edilir; oysa asıl risk burada. Authenticator cihazı kaybolduğunda panik halinde 2FA sıfırlama talebi açılır ve bu süreç bazen 24–72 saat sürer. Bu süre boyunca hesabına erişememek ayrı bir stres kaynağı olur. Yedek kodları doğru sakladıysan bu süreç dakikalara iner. Ayrıca birden fazla cihaz kullanıyorsan, borsanın izin verdiği ölçüde “yalnızca tek güvenilir cihazda authenticator” yaklaşımı daha kontrollüdür; her cihaza kurmak, cihaz sayısı arttıkça risk yüzeyini büyütür.

Çekim whitelist (adres beyaz liste) nasıl çalışır?

Whitelist (adres beyaz liste), para çekme işlemini “önceden onaylanmış adreslerle” sınırlar. Yani hesabına biri girse bile, saldırganın kendi adresine çekim yapabilmesi için önce yeni bir çekim adresi eklemesi gerekir. Bu ekleme adımı çoğu borsada ayrı bir güvenlik akışına sahiptir: 2FA doğrulama, e-posta onayı ve bazen bekleme süresi. Whitelist, özellikle “giriş çalındı ama çekim yapılamasın” mantığının omurgasıdır.

Whitelist’i doğru kurmak için iki prensip kullan: “minimum adres” ve “etiketleme”. Minimum adres demek, gerçekten kullandığın 2–5 adres dışında hiçbir şeyi listeye eklememek. Etiketleme ise aynı cüzdanın farklı ağlarda (ör. farklı network seçenekleri) farklı adres/formatlara sahip olabileceğini unutmamak. Borsadaki çekim ekranında çoğu hata “yanlış ağ” yüzünden olur; whitelist’e adres eklerken adresin ait olduğu ağı ve cüzdanı etiketlemek, 2 ay sonra bile hatayı azaltır. Eğer borsa whitelist’i “tüm ağlar için tek adres” gibi yorumluyorsa, bu durumda her ağ için ayrı çekim prosedürü belirlemek daha güvenli olur.

Whitelist’in gücü, çekim kilidiyle birleşince artar: yeni adres ekledikten sonra çekim hemen açılamıyorsa, saldırganın “hızlı kaçış” planı bozulur. Bazı borsalarda whitelist “zorunlu” (whitelist dışına çekim kapalı) olarak ayarlanabilir; mümkünse bu modu seç. Ayrıca whitelist’te adres ekleme/silme gibi hareketler için bildirim açmak (e-posta veya uygulama bildirimi) erken uyarı sağlar.

Çekim kilidi (withdrawal lock) ve gecikme süreleriyle savunma

Çekim kilidi (withdrawal lock), çekim yapılmasını belli koşullarda durdurur veya geciktirir. Bazı borsalarda bu özellik “çekim kapatma” gibi basit bir anahtardır; bazılarında ise “adres ekledikten sonra 24 saat çekim yok”, “2FA değişince 48 saat çekim yok” gibi zaman kilitleri şeklinde çalışır. Zaman kilidi, güvenlikte çok değerli bir mekanizma çünkü saldırganların çoğu “hızlı nakit” peşindedir; 24–48 saat beklemek zorunda kalınca riskleri artar ve planları bozulur.

İyi bir çekim kilidi yapılandırması, senin normal kullanımını gereksiz zorlaştırmadan saldırgana maliyet çıkarır. Örnek bir denge: çekim limiti düşükse (ör. günlük limit) zaman kilidi ek olarak çalışabilir; limit yüksekse zaman kilidi daha anlamlı hale gelir. Eğer borsa “çekim kilidi”ni manuel aç/kapat olarak sunuyorsa, pasif yatırımcı için basit bir rutin işe yarar: “çekim yapacağım gün kilidi aç, iş bitince kilidi geri kapat.” Bu rutin 2 dakika sürer ama hesabı ele geçirme senaryosunda saldırganın işini dramatik şekilde zorlaştırır.

Zaman kilitleri sadece çekim için değil, güvenlik ayarı değişiklikleri için de kullanılmalıdır. 2FA’yı değiştirdiğinde çekimin 24–72 saat durması, kısa vadede sinir bozucu gelebilir ama uzun vadede kazandırır. Borsan bu özelliği sunmuyorsa, benzer etkiyi whitelist ve bildirimlerle yakalarsın: “Yeni adres eklendi” bildirimi geldiğinde anında müdahale edebilmek için bildirimleri açık tutmak, zaman kilidi olmayan platformlarda daha önemli hale gelir.

Cihaz yönetimi ve giriş onayı: oturumları kontrol altına almak

Borsa hesabında “giriş yapan cihazlar” ve “aktif oturumlar” listesi, çoğu kullanıcının hiç bakmadığı ama en çok sinyal veren ekranlardan biridir. Bir saldırgan çoğu zaman hesabı ele geçirince hemen çekim yapamaz; önce oturumu kalıcı hale getirmeye çalışır (tarayıcıyı “güvenilir cihaz” olarak işaretleme, yeni cihaz ekleme, e-posta filtreleriyle bildirimleri gizleme gibi). Bu yüzden cihaz yönetimi, olay büyümeden önce yakalama şansı verir.

Pratik bir uygulama kuralı koy: “Ayda 1 kez cihaz listesi kontrolü” ve “şüpheli durumda tüm oturumları kapat.” Özellikle çok cihazdan giriş yapan trader’larda cihaz sayısı 6–10 arası kolayca şişer; burada amaç sıfıra indirmek değil, açıklanabilir bir liste tutmaktır. Listede tanımadığın bir cihaz görürsen, sadece çıkış yaptırmak yetmez; şifre değişimi + 2FA kontrolü + e-posta güvenliği üçlüsünü aynı anda ele almak gerekir. Çünkü saldırganın giriş yaptığı kanal kapanınca, başka bir kanaldan tekrar deneyebilir.

Giriş onayı (device approval) sunan borsalarda, “yeni cihaz ekleme” adımını mutlaka ayrı bir doğrulama ile bağla. İdeal senaryo: yeni cihaz eklenince hem authenticator kodu istenir hem de e-posta onayı gerekir. Eğer yalnızca e-posta ile onay veriliyorsa, e-posta güvenliği bir üst başlığa taşınır: e-posta ele geçirilirse cihaz onayı da düşer. Bu yüzden cihaz yönetimini “tek başına bir ayar” değil, zincirin parçası gibi düşün.

Anti-phishing code ve e-posta güvenliği: sahte bildirimleri ayıklamak

Anti-phishing code, borsanın gönderdiği resmi e-postalara senin belirlediğin bir “kişisel işaret” ekler. Amaç basit: gelen e-postada bu kod yoksa, e-posta büyük olasılıkla sahte. Phishing saldırılarında en sık görülen yöntem, “hesabınız donduruldu” veya “çekim onayı bekliyor” gibi panik yaratan mesajlarla kullanıcıyı sahte linke tıklatmak. Anti-phishing code, panik anında bile doğru sinyali veren bir kontrol noktası sağlar.

E-posta güvenliği için 3 katman düşün: (1) E-posta hesabında da authenticator kullan, mümkünse donanım anahtarı desteğini değerlendir. (2) E-postada “kurallar/filtreler” bölümünü kontrol et; saldırgan bazen borsadan gelen mailleri otomatik arşive veya silme kutusuna yönlendirir. (3) Borsa bildirimlerini tek kanala bağlama; e-posta yanında uygulama bildirimi veya SMS gibi alternatifleri yalnızca “alarm” için açık tutabilirsin. Burada ince nokta şu: SMS’i 2FA için kapatmak isteyebilirsin ama bildirim için kullanmak, aynı risk seviyesinde değildir; yine de operatör tabanlı riskleri bildiğin için kararın daha bilinçli olur.

Anti-phishing code’un faydasını artırmak için kodu “kolay tahmin edilebilir” yapma. Doğum tarihi, plaka, kısa kelime yerine 10–14 karakter arası, harf-rakam karışık bir ifade seçmek daha iyi bir pratik. Ayrıca borsanın e-postalarındaki “gönderen adresini” ezberlemeye çalışma; saldırganlar benzer adreslerle bunu taklit edebilir. Senin asıl kontrol mekanizman: anti-phishing kodu + linke tıklamadan önce borsaya doğrudan uygulamadan giriş yapıp bildirimi orada doğrulamak.

Şifre politikası ve parola yöneticisi: 12 dakikada daha sağlam temel

Şifre güvenliği sıkıcı görünür ama borsa hesabı için “en kolay iyileştirme” burada başlar. Temel kural: borsa şifresi, e-posta şifresi ve diğer platform şifreleri aynı olamaz. Tek bir sızıntı, zincirleme erişim sağlar. İyi bir borsa şifresi 14–20 karakter aralığında, rastgele üretilmiş ve başka hiçbir yerde kullanılmayan bir şifre olmalıdır. Bu seviyeye “kendi aklınla” çıkmak zordur; parola yöneticisi bu yüzden işlevseldir.

Parola yöneticisini doğru kullanmanın 4 adımı var: (1) Güvenilir bir parola yöneticisi seç ve ana parolanı 16+ karakter yap. (2) Borsa ve e-posta için benzersiz, rastgele şifre üret (ör. 20 karakter). (3) Otomatik doldurmayı sadece doğru alanlarda kullan; sahte sayfalarda parola yöneticisi çoğu zaman “alan eşleşmediği” için doldurmaz, bu da phishing’e karşı ek sinyal verir. (4) Parola yöneticisinin kendisi için de 2FA aç ve yedek kodlarını sakla.

Şifre değişim sıklığı konusunda net bir sayı söylemek zor; ama “olay tetikleyici” yaklaşımı daha mantıklı: yeni cihazla giriş olduysa, e-posta hesabında şüpheli etkinlik gördüysen, borsadan “hesabınıza giriş” uyarısı geldiyse veya tarayıcıya bilinmeyen eklenti kurduysan şifreleri hemen yenile. Buna ek olarak, pasif kullanıcılar için 90 günde bir (yaklaşık 3 ay) kontrol ve gerekirse yenileme iyi bir denge sağlar; aktif trader’lar için 30–60 gün arası daha disiplinli bir ritim uygulanabilir.

API key yönetimi: yetki sınırı, IP whitelist ve anahtar hijyeni

API key, borsa hesabının “programatik anahtarı” gibidir: bot bağlamak, veri çekmek, otomatik emir vermek için kullanılır. Yanlış yönetildiğinde, şifre çalınmadan bile zarar üretebilir. Buradaki ana prensip “en az yetki”dir. Eğer sadece fiyat/pozisyon verisi çekeceksen, trade yetkisi verme. Trade yapacaksan, mümkünse çekim (withdraw) yetkisini asla açma. Bir anahtarın gereksiz yetkisi varsa, sızıntı olduğunda etki alanı büyür.

İkinci prensip IP whitelist’tir. API key’i sadece belirli IP adreslerinden çalışacak şekilde sınırlandırmak, anahtar sızsa bile saldırganın onu kendi ortamında çalıştırmasını zorlaştırır. Ev interneti dinamik IP ise, sabit IP veya güvenli bir sunucu üzerinden çalışma planı gerekebilir; bu durumda anahtarları “kişisel bilgisayar + rastgele Wi-Fi” gibi ortamlarda çalıştırmak riskli hale gelir. Ayrıca anahtar rotasyonu (ör. 30–45 günde bir yeni anahtar üretip eskisini iptal etmek) sızıntı penceresini kısaltır. Bu rotasyonu takvime bağlamak, unutmayı engeller.

Para çekme güvenliği: adres doğrulama, test transferi, onay akışı

Çekim güvenliği sadece “çekime izin verme/verme” değildir; çekim sürecinin kendisini hataya ve saldırıya dayanıklı hale getirmektir. İlk kural: adresi kopyala-yapıştır yapmak yerine, adresin başını ve sonunu kontrol etmeyi alışkanlık haline getir. Örneğin ilk 6 karakter ve son 6 karakteri kıyaslamak, yanlış adrese gönderim riskini ciddi biçimde azaltır. İkinci kural: ağ seçimini iki kez kontrol et. Aynı varlık adı farklı ağlarda farklı şekilde çalışabilir; uyumsuz ağ seçimi fon kaybına yol açabilir.

Test transferi pratik bir sigorta: yeni bir adrese ilk kez çekim yapıyorsan, toplam tutarın küçük bir kısmıyla (ör. %1) deneme yapmak hem teknik hataları hem de “adres değiştiren kötü niyetli yazılım” riskini azaltır. Bunun üstüne whitelist eklediğinde, sonraki çekimlerde hız kazanırsın. Borsan çekim onayı için e-posta gönderiyorsa, e-postadaki anti-phishing kodunu kontrol et ve linke tıklamak yerine borsanın uygulamasından çekim durumunu doğrula; bu, sahte link riskini düşürür.

Farklı varlıklar ve ağlar arasında çekim davranışı değişir; bu yüzden “tek prosedür” yerine “tek şablon” daha işlevlidir. Şablonun şöyle olabilir: (1) Adres whitelist’te mi? (2) Kilit açık mı? (3) Ağ doğru mu? (4) Test transferi gerekti mi? (5) Onay kanalları doğru mu? Bu şablonu özellikle birden fazla varlıkla çalışan kullanıcılar için standartlaştırmak önemlidir; örneğin ilk kez bir Altcoin çekimi yaparken aynı disiplinle ilerlemek, “ilk denemede hata” ihtimalini düşürür.

Hesap ele geçirilirse ilk 30 dakika: zarar kontrol planı

Bir güvenlik olayı yaşandığında, ilk 30 dakikada yapılan hamleler hasarı belirler. Planın yoksa panik, yanlış sırayla adım attırır: önce mail ararsın, sonra şifre değiştirirsin, sonra oturumları kapatırsın… Halbuki doğru sıra, saldırganın aktif erişimini hızlıca kesmeye odaklanır. İlk adım: borsada “tüm oturumları kapat” ve mümkünse “çekimleri durdur” anahtarını devreye al. Bu adım 1–2 dakika içinde yapılabilmeli; hesabına erişemiyorsan hemen borsa destek kanalı üzerinden “account compromise” akışını başlatman gerekir.

İkinci adım: e-posta güvenliği. Çünkü birçok borsa şifre sıfırlama ve çekim onayını e-postaya bağlar. E-postanın parolasını değiştir, e-postadaki oturumları kapat, filtreleri kontrol et. Sonra borsa şifresini değiştir ve 2FA’yı yeniden doğrula. Üçüncü adım: çekim hareketlerini incele. Son 24 saatlik çekim/transfer geçmişini kontrol ederek “yetkisiz işlem var mı?” sorusuna net yanıt ver. Varsa, borsanın destek talebine işlem kimliklerini eklemek soruşturmayı hızlandırır.

Dördüncü adım: saldırı vektörünü bul. “Nasıl oldu?” sorusuna cevap vermeden sadece şifre değiştirip devam etmek, aynı senaryonun tekrarına davetiye çıkarır. Son günlerde şüpheli bir linke tıklayıp tıklamadığını, tarayıcı eklentilerini, cihazdaki zararlı yazılım riskini ve telefon hattı üzerinde değişiklik olup olmadığını kontrol et. Eğer SIM swap şüphen varsa operatörle görüşüp hat üzerinde işlem geçmişi iste ve numara taşıma/sim değişikliği kilitlerini aktif et.

Sürekli bakım: aylık denetim, log takibi ve rol paylaşımı

Güvenlik kurulumunu bir kez yapıp bırakmak, birkaç ay sonra ayarların “eski” kalmasına yol açar. Yeni cihaz alırsın, eski oturum açık kalır; bot denersin, API key unutulur; whitelist’e bir adres eklersin, sonra kullanmazsın ama listede kalır. Bu yüzden aylık denetim rutini, güvenliği canlı tutar. Basit bir aylık ritim: (1) cihaz/oturum listesi, (2) whitelist temizliği, (3) API key envanteri, (4) bildirim testleri. Bu 4 kalem toplam 15–25 dakika sürer.

Log takibi, özellikle “sessiz” saldırılarda fark yaratır. Borsanın sunduğu giriş kayıtları, IP geçmişi, API çağrı logları ve güvenlik ayarı değişiklik geçmişi varsa, bunları ayda bir gözden geçirmek ciddi sinyal verir. Örneğin tanımadığın bir IP’den 3 gece üst üste giriş denemesi görürsen, henüz başarılı bir giriş olmasa bile şifre değişimi ve cihaz onayı sıkılaştırması anlamlı hale gelir. Ayrıca rol paylaşımı (aile/ekip) gibi durumlarda, “tek hesap paylaşımı” yerine alt hesap veya yetkili kullanıcı rolleri sunan borsaları kullanmak daha kontrollüdür; herkesin aynı 2FA’yı paylaşması, hem güvenlik hem operasyon açısından sorun üretir.

Hata Avcısı: En sık yapılan 10 hata

• Hata: SMS 2FA ile devam etmek. Sonuç: SIM swap ile kod ele geçirilip hızlı çekim denenebilir. Önlem: Authenticator’a geç, yedek kodları güvenli sakla.
• Hata: Aynı şifreyi e-posta ve borsada kullanmak. Sonuç: Tek sızıntı zincirleme erişim sağlar. Önlem: Parola yöneticisiyle benzersiz 20 karakter şifre üret.
• Hata: Yedek kodları fotoğraf/galeride tutmak. Sonuç: Telefon ele geçirilirse 2FA da düşer. Önlem: Şifreli kasa veya çevrimdışı saklama kullan.
• Hata: Whitelist’i açıp onlarca adres eklemek. Sonuç: Adres kalabalığı hata ve kötü niyetli ekleme riskini artırır. Önlem: 2–5 aktif adresle sınırla, kullanılmayanları kaldır.
• Hata: Yeni adres ekledikten sonra bekleme/lock ayarını kapatmak. Sonuç: Ele geçirilen hesapla anında çekim mümkün olur. Önlem: 24–48 saat gecikme kuralını açık tut.
• Hata: Anti-phishing code’u hiç açmamak. Sonuç: Sahte e-postalar panik anında tıklatır. Önlem: Kod belirle, e-postada kod yoksa linke tıklama.
• Hata: Cihaz/oturum listesini aylarca kontrol etmemek. Sonuç: Tanımadığın cihazlar kalıcı erişim kazanabilir. Önlem: Ayda 1 kontrol, şüphede “tüm oturumları kapat”.
• Hata: API key’e gereksiz yetki vermek. Sonuç: Sızıntı halinde istenmeyen işlemler artar. Önlem: En az yetki; çekim yetkisini kapalı tut.
• Hata: API key’leri IP whitelist olmadan kullanmak. Sonuç: Anahtar başka ortamda çalıştırılabilir. Önlem: IP sınırı koy, anahtarı 30–45 günde bir döndür.
• Hata: Yeni adrese test transferi yapmadan büyük tutar çekmek. Sonuç: Yanlış ağ/adres seçimiyle fon kaybı yaşanabilir. Önlem: İlk çekimde %1 test, doğrulama sonrası tam tutar.

Hepsini bir sisteme bağla: kişisel borsa güvenlik checklist’in

Tek tek ayarları kurmak iyi; onları “alışkanlığa” bağlamak daha iyi. Bunun için kendine iki zaman dilimi tanımla: “transfer günü protokolü” ve “aylık bakım.” Transfer günü protokolü, çekim yapacağın zaman otomatikleşmiş bir kontrol sırasıdır: whitelist doğrulaması, ağ kontrolü, test transferi (gerekiyorsa), onay kanalı kontrolü ve işlem sonrası kilitleri geri kapatma. Aylık bakım ise cihaz listesi, whitelist temizliği, API key envanteri ve bildirim testlerini kapsar.

Sistemi kurarken “kendi kullanım tarzına göre” küçük özelleştirmeler ekle. Örneğin aktif trader isen cihaz sayını 2–3 ana cihazla sınırla, bot kullanıyorsan API key’leri ayrı bir ortamda çalıştır, pasif yatırımcı isen çekim kilidini varsayılan olarak kapalı tut. Ayrıca raporlama ve değer takibi yaparken tek bir referans noktası üzerinden ilerlemek yerine, hesap kayıtlarını düzenli tutmak daha sağlıklı olur; örneğin dönemsel notlarında güncel Bitcoin değerini yazarken bunun yalnızca kayıt amaçlı olduğunu netleştirip güvenlik protokolünü ayrı bir liste olarak tutmak kafa karışıklığını azaltır.

En verimli yaklaşım, ayarları “bir kerede mükemmel” yapmak değil, ilk gün temel kilitleri kurup (2FA + whitelist + çekim kilidi) ardından 7 gün içinde cihaz yönetimi, anti-phishing ve API hijyenini tamamlamaktır. Bu 7 günlük plan, her gün 5–10 dakikalık parçalar halinde uygulanabilir: 1. gün 2FA, 2. gün whitelist, 3. gün çekim kilidi, 4. gün cihaz/oturum, 5. gün anti-phishing ve e-posta, 6. gün şifre yöneticisi, 7. gün API key envanteri. Böylece hem yorulmazsın hem de her adımı test ederek ilerlersin.

Son adım: Güvenliği “bir defa yapılan ayar” değil, sürdürülen bir sistem olarak kurduğunda stres azalır. Bugün 20 dakika ayırıp authenticator, whitelist ve çekim kilidini tamamla; ardından 7 günlük mini planla cihaz yönetimi, anti-phishing ve API hijyenini bitir. Bu sırayı takip etmek, hem ele geçirme riskini düşürür hem de olay anında “ne yapacağım?” sorusunu ortadan kaldırır.

Tek eylem çağrısı: Şu anda borsana gir, çekim whitelist’i zorunlu moda alabiliyorsan aç ve yeni adres ekleme sonrası bekleme süresini kontrol et; bu tek hamle, en çok kaybın yaşandığı “hızlı çekim” senaryolarını doğrudan hedef alır.

SSS

Whitelist açarsam her çekimde uğraşır mıyım?
Whitelist’in ilk kurulumu biraz zaman alır; sonrasında ise çekim akışını hızlandırır çünkü sürekli adres girmek yerine onaylı listeden seçersin. İş yükü, ayarları kurarken harcadığın 10–15 dakikadır; olay anında kaybedilecek saatlerle kıyaslanmaz.

SMS 2FA’yı tamamen kapatmak güvenli mi?
Authenticator sorunsuz çalışıyor, yedek kodların güvenli saklanıyor ve borsanın kurtarma süreçlerini biliyorsan SMS’i devreden çıkarmak riski azaltır. Yine de bazı kullanıcılar SMS’i sadece “bildirim/alarm” için tutup 2FA’yı authenticator’a taşıyarak denge kurar.

Çekim kilidi işlem hızımı bozar mı?
Çekim kilidini “varsayılan kapalı” tutup sadece çekim yapacağın gün açıp iş bitince kapatmak, esnekliği korur. Borsanın sunduğu 24–48 saat gecikme kuralı, özellikle yeni adres ekleme gibi riskli değişikliklerde savunma sağlar.

API key kullanmıyorum, yine de kontrol etmeli miyim?
Evet. Geçmişte bir kez bot denemiş olabilirsin ve unutulmuş bir anahtar aktif kalmış olabilir. Ayda bir “API key envanteri” kontrolü yapmak, kullanılmayan anahtarları iptal ederek risk yüzeyini daraltır.

Hesabım ele geçirildiğini nasıl anlarım?
Tanımadığın cihaz oturumu, alışılmadık IP’den giriş uyarıları, whitelist’te yeni adres, çekim denemeleri veya API loglarında beklenmeyen çağrılar güçlü sinyallerdir. Bu sinyallerden biri bile varsa, tüm oturumları kapatma + şifre/2FA kontrolü + e-posta güvenliği adımlarını gecikmeden uygulamak gerekir.

© bitcoinkactl.com