Ledger vs. Trezor: İdeal kripto cüzdanı arayışı

Ledger ve Trezor uzun yıllardır en popüler kripto para cüzdanları olmuştur. Ancak hiçbir marka mükemmel değildir ve her ikisinde de birden fazla kez güvenlik açıkları bulunmuştur. Bu tür olaylar ne kadar çok ortaya çıkarsa, şu soru da o kadar sık soruluyor: Hangi cüzdan gerçekten güvenilir kabul edilebilir?

Trezor: Çipler, web sitesi ve sosyal medya üzerinden saldırılar

Trezor’un güvenliğini tartışmak için bir başka neden, Ledger’ın araştırma ekibi Donjon tarafından hazırlanan bir raporun ardından geldi. Uzmanlar, Trezor Safe 7 cüzdanında kullanılan TROPIC1 çipinde bir güvenlik açığı buldular. Saldırı; çipe fiziksel erişim, laboratuvar ekipmanı ve hassas lazer maruziyeti gerektiriyordu. Trezor, TROPIC1'in cihazın üç koruma katmanından yalnızca biri olması nedeniyle kullanıcı fonlarının güvende olduğunu belirtti.

Loading...

Tweet yazar tarafından silindi.

Ama biz her şeyi kaydettik 🙂.

Bu, benzer ilk olay değildi. Mart 2025'te Ledger Donjon, Trezor Safe 3'te bir güvenlik açığı bildirdi. Bu, cüzdanın fiziksel olarak çalınması durumunda yapılan bir saldırıyı içeriyordu: Sorun, korumalı çip ile birlikte çalışan mikrodenetleyiciyle bağlantılıydı. Trezor o dönemde Safe 5'in bu sorundan etkilenmediğini ve araştırmacıların test edilen cihazdan özel anahtarları veya PIN kodlarını çıkaramadıklarını söyledi.

Sadece cihazın kendisine değil, Trezor kullanıcılarına yönelik saldırılar da gerçekleşti. 2024 yılında şirket bir oltalama (phishing) kampanyası hakkında uyarıda bulundu: Saldırganlar resmi web sitesindeki iletişim formunu kullanarak destek yanıtı gibi görünen e-postalar gönderdiler. Trezor, e-posta adreslerinde herhangi bir sızıntı olmadığını vurguladı ancak kullanıcılara ana kuralı hatırlattı: Şirket asla cüzdan yedeği veya seed phrase (tohum kelimeler) istemez.

Ocak 2024'te, üçüncü taraf bir destek portalına yetkisiz erişim sağlandığına dair raporlar geldi. Mart 2024'te bir saldırgan şirketin X hesabını ele geçirdi ve Solana ağında sahte ön satışlar paylaştı. Bu vakalar donanım cüzdanlarının doğrudan hacklendiği anlamına gelmiyordu ancak saldırganların sadece cihazı değil, marka ile kullanıcılar arasındaki iletişim kanallarını da hedefleyebileceğini gösterdi.

Ledger: Korumalı bir cüzdan, savunmasız bir ekosistem

Ledger da mükemmel olmaktan uzaktır. Marka, özel anahtarları cihaz içinde izole etmek için tasarlanmış korumalı çiplere güvenir. Ancak son yıllar, saldırganların cüzdanın kendisinden daha fazlasını hedefleyebileceğini gösterdi. Uygulamalar, ortaklar, merkeziyetsiz hizmetler için kütüphaneler ve dolandırıcılardan sahte e-postalar alan kullanıcıların tümü savunmasız hale gelebilir.

Ocak 2026'da Ledger, ödeme ortağı Global-e aracılığıyla müşterilerin kişisel verilerinin sızdırılmasıyla karşı karşıya kaldı. Blockchain araştırmacısı ZachXBT'ye göre, üçüncü taraf sağlayıcıdaki bir güvenlik açığı Ledger kullanıcılarının iletişim bilgilerini ifşa etti. Etkilenen müşterilere gönderilen bir mektupta Global-e, ağının bir bölümünde şüpheli etkinlik tespit ettiğini belirtti. Şirket, isimler ve müşteri iletişim bilgileri de dahil olmak üzere bazı verilere yetkisiz erişimi doğruladı.

Loading...

Tweet yazar tarafından silindi.

Ama biz her şeyi kaydettik 🙂.

2024 yılında Ledger sahipleri kitlesel bir oltalama saldırısına maruz kaldı. Dolandırıcılar şirket adına e-postalar göndererek bir veri ihlali olduğunu iddia ettiler. Kullanıcılardan seed phrase'lerini sahte bir web sitesinde "doğrulamaları" istendi. Sayfa resmi bir Ledger hizmeti gibi görünüyordu ancak verileri çalmak için oluşturulmuştu. Bir kişi yanlış bir kelime grubu girdiğinde, site hata gösteriyor ve dolandırıcılar doğru kombinasyonu alana kadar tekrar denemelerini istiyordu.

Kasım 2024'te Microsoft Store'da sahte bir Ledger Live uygulaması bulundu. Kullanıcılar, cüzdanlarıyla çalışmak için resmi arayüzü yüklediklerini düşünerek uygulamayı indirdiler. Medya raporlarına göre, sahte uygulama saldırganların 768.000 dolar çalmasına olanak tanıdı.

Bir başka ciddi olay Aralık 2023'te yaşandı. O dönemde, merkeziyetsiz uygulamalar tarafından kullanılan Ledger Connect Kit kütüphanesi ele geçirildi. Ledger, nedenin eski bir çalışana yönelik bir oltalama saldırısı olduğunu belirtti: Saldırgan, bir JavaScript paket yöneticisine kötü amaçlı bir dosya yükleme yeteneği kazandı. Ledger CEO'su Pascal Gauthier'e göre şirket, WalletConnect ile birlikte açığı keşfedildikten yaklaşık 40 dakika sonra düzeltti ve ele geçirilen kütüphaneyi değiştirdi.

Mükemmel cüzdan yoktur

Trezor ve Ledger'ın hikayeleri, güvenlik açıklarının çok farklı olabileceğini gösteriyor. Bir vakada araştırmacılar bir çipi lazerle test ederken; bir diğerinde dolandırıcılar e-posta gönderiyor, sahte web siteleri oluşturuyor veya bir mağazaya sahte uygulama yüklüyor. Bazen sorun cihazın içinde, bazen çevresindeki hizmetlerde, bazen de kullanıcının tanıdık bir markaya olan güveninde yatıyor.

Piyasada Coinkite, BitBox, Keystone veya Tangem gibi başka donanım cüzdanları da bulunmaktadır. Bazıları sadece Bitcoin'e odaklanırken, diğerleri kartlara, QR kodlarına, açık koda veya bilgisayar bağlantısı olmamasına güvenir. Ancak bu yaklaşımların hiçbiri tüm riskleri aynı anda ortadan kaldırmaz. Cihaz ne kadar karmaşık ve ekosistemi ne kadar genişse, zayıf bir halkanın ortaya çıkabileceği o kadar çok yer vardır.

Bu durumda, ideal kripto cüzdanı sadece cihaz içindeki özel anahtarları korumakla kalmamalıdır. Kullanıcıya tam olarak neyi imzaladığını göstermeli, gereksiz kişisel veri toplamaktan kaçınmalı, net bir güncelleme sistemine sahip olmalı, bağımsız denetimlerden geçmeli ve fiziksel saldırılara karşı dirençli olmalıdır. Ancak sahibi seed phrase'ini sahte bir web sitesine girerse veya sahte bir uygulama indirirse bu bile yeterli değildir.

Bu nedenle cüzdan güvenilirliği tek bir markaya veya tek bir çipe indirgenemez. Ledger daha çok donanım koruması ve kapalı, korumalı bir çip ile ilişkilendirilir. Trezor ise açıklık ve doğrulanabilirlik ile ilişkilendirilir. Diğer üreticiler kendi ödünlerini sunarlar. Gerçekte en güvenli cüzdan, içinde hiç güvenlik açığı bulunmayan değil; risklerin önceden anlaşıldığı, hızlıca düzeltildiği ve tek bir kullanıcı hatasını tüm fonların kaybına dönüştürmeyen cüzdandır.