"Bedava airdrop al" sözü, herhalde zincir üstündeki en pahalı bedavadır. Sahte airdrop yalnızca açgözlülüğünüzü değil, çoğu insanın cüzdanda açılan o uzun onay penceresinin tam olarak neyi onayladığını anlamamasını sömürür. Coin aldığınızı sanırsınız; oysa aslında tanımadığınız bir kontrata "bundan sonra USDT'mi istediğin gibi kullanabilirsin" diye bir muvafakatname imzalarsınız. Bu yazı cüzdanın alt yapı tekniğini anlatmaz; yalnızca tek bir şeyi nettir: o "onay (approve)" düğmesi neden bu kadar tehlikeli ve ondan nasıl korunulur.
- Onayla coin çalmanın özü "sizi transfer yapmaya kandırmak" değil, sizi bir onaya (approve) imza attırmaktır; onay bir kez verildiğinde dolandırıcı sonraki herhangi bir anda ilgili tokeni çekebilir.
- Çoğu onay varsayılan olarak sınırsız limitli ve süresizdir; bu yüzden tek bir imza, cüzdanınızdaki bir tokenin yavaşça, hatta tek seferde boşaltılmasına yeter.
- Cüzdanda birden ortaya çıkan tokenların onda dokuzu yemdir; onları "almaya/takas etmeye" kalkmayın; airdrop'a katılırken ayrı küçük bir cüzdan kullanın, büyük varlıkları soğuk cüzdanda tutun.
Sahte airdrop dolandırıcılığı tam olarak nedir
Airdrop'un kendisi gerçektir: bazı projeler tanıtım ve dağıtım için tokenlarını erken kullanıcılara ya da uygun cüzdanlara bedava verir. Sorun şu ki dolandırıcılar bu güzel olayı bütünüyle kopyalayıp bir yeme dönüştürmüştür.
Sahte airdrop'un senaryosu genelde şöyledir: bir grupta, bir gönderide ya da bir özel mesajda "Filanca proje airdrop'u açıldı, ilk gelen alır" yazısını görürsünüz ya da cüzdanınızı açıp içinde durup dururken, adı gayet ciddi görünen bir tokenın belirdiğini fark edersiniz. Yönergeyi takip edip bir alma sayfasına girersiniz, sayfa sizden "cüzdanı bağlamanızı" ister — buraya kadar bir şey olmaz. Asıl tuzak sonraki adımdadır: onaylamanız için bir pencere açılır, üzerinde "al", "etkinleştir", "uygunluğu doğrula" yazar; oysa bastığınız o düğmeyle aslında bir onay işlemi imzalarsınız.
O andan itibaren dolandırıcının özel anahtarınıza da kurtarma ifadenize de ihtiyacı kalmaz; cüzdanınızdaki ilgili tokeni yine de çekebilir. Tüm bu süreçte "ben hiçbir şey transfer etmedim ki" hissi yaşarsınız — doğru, transfer etmediniz; sadece transfer etme yetkisini başkasına verdiniz.
Önce "onay (approve)" sade dille
Cüzdandaki tokenların (örneğin USDT, çeşitli ERC-20 tokenları) bir mekanizması vardır: bir merkeziyetsiz uygulamada (DApp) bir tokeni kullanmak istediğinizde — örneğin işlem yapmak, stake etmek — önce o uygulamanın kontratına bu tokeni kullanma "onayını" vermeniz gerekir; ancak ondan sonra siz bir işlem başlattığınızda sizin için aktarabilir. Bu, DeFi'nin normal çalışması için gereken bir adımdır, kendi başına kötü bir şey değildir.
Pek tam olmasa da anlaşılır bir benzetme: onay, bir banka kartının otomatik ödeme yetkisini bir işletmeye açmak gibidir. Açtıktan sonra o işletme, anlaşılan sınırda her seferinde tekrar şifre girmenize gerek kalmadan kartınızdan para çekebilir. Asıl sorun da burada başlar —
Asıl ölümcül olan "limit" ve "süre"dir
Çoğu onay isteği varsayılan olarak sınırsız limit ister (saçma derecede büyük uzun bir sayı görürsünüz ya da doğrudan "unlimited" yazar) ve son kullanma tarihi yoktur. Sade dille: "en fazla 100 lira çek" diye bir otomatik ödeme değil, "bu karttaki bu paradan ne kadar istersen çek, süresiz geçerli" diye bir yetki açmışsınızdır. Yetki verdiğiniz taraf dolandırıcı kontratıysa, bu tokeni ne zaman gelip toptan çekeceğine tamamen o karar verir.
İşte bu yüzden birçok kişi "uzun süredir işlem yapmadım, cüzdanım birden boşaldı" der — onay birkaç ay önce imzalanmıştır, dolandırıcı yalnızca hasat için bir an seçmiştir. Onay zaman geçtikçe kendiliğinden geçersiz olmaz; siz bizzat iptal etmezseniz orada asılı kalır.
İmza ile onay tam olarak nerede ayrılır
Çoğu kişi cüzdanda açılan tüm onayları topluca "imza" diye adlandırır; oysa bunlar aynı şey değildir, tehlike düzeyleri de farklıdır.
| Sıradan zincir dışı imza (signature) | Onay / işlem (approve) | |
|---|---|---|
| Yaygın kullanım | "Bu cüzdan benim" demek, örneğin DApp'e giriş, beyaz listeye katılma | Bir kontrata, tokeninizi kullanma yetkisini verme |
| Zincire işleniyor mu | Çoğu işlenmez, ağ ücreti gerektirmez | İşlenir, ağ ücreti (gas) gerektirir |
| Varlığa doğrudan dokunur mu | Normalde doğrudan dokunmaz | Onaydan sonra karşı taraf yetki sınırında ilgili tokeni çekebilir |
| Kimlik avındaki risk | Dolandırıcı "zararsız görünen" ama aslında onaya/transfere eşdeğer imzalar hazırlar | Limit sınırsız + süresizken, tek bir kez bir tokeni boşaltmaya yeter |
Not: Farklı cüzdanlar ve farklı zincirler imza ile onayı biraz farklı gösterir. Ortak tek güvenlik ilkesi şudur: anlamadığınız hiçbir onayı onaylamayın, önce tam olarak neyi istediğini anlayın.
Burada gevşememeniz için bir cümle eklemem gerek: "zincir dışı imza işlenmez, ücret gerektirmez" kesinlikle güvenli demek değildir. Dolandırıcı, "varlıklarınızı transfer etmeye izin ver"e eşdeğer bir isteği, masum görünen bir imza penceresi kılığına (gas yok, "approve" sözcüğü yok) sokarak gevşeyip onaylamanızı sağlayabilir. Yani ölçüt "ücret gerektiriyor mu" değil, neyi istediğini anlayıp anlamadığınız ve karşı tarafın güvendiğiniz bir adres olup olmadığıdır.
Üç çalma biçimi nasıl görünür
Aynı sahte airdrop olsa da sizi oltaya getiren giriş biçimleri farklıdır; bu biçimleri tanımak önceden fren yapmanıza yardım eder.
① Sahte alma sayfası onay imzalatır
En yaygını. Proje resmî sitesine çok benzeyen bir "airdrop alma sayfası", cüzdanı bağlar bağlamaz bir onay açar. "Coin alıyormuşsunuz" gibi görünür ama aslında cüzdanınızdaki USDT'ye ya da yaygın tokenlara onay ister. Sayfa çoğu zaman geri sayım, "yalnızca N kontenjan kaldı" diye sizi incelemeden basmaya iter.
② Sahte token / sahte NFT cüzdana düşer, etkileşime kandırır
Hiçbir şey yapmamışsınızdır ama cüzdanınızda birden bir token ya da bir NFT belirir. Adında ya da görselinde çoğu zaman bir web adresi gizlidir, sanki "gel bu siteden al/takas et" diye bağırır. O siteye gidip etkileşime girdiğiniz an, asıl onay tuzağı orada bekler. Varlığın kendisi cüzdanda dururken zarar vermez; o siteye gidip etkileşime girmek zarar verir.
③ Sahte "riski kaldır / onayları tara" sayfası
Bu, zaten tetikte olanları hedefler. "Onay güvenlik taraması", "riskli onayları tek tıkla kaldır" aracı kılığına girer, tehlikeli onaylarınızı tarayıp iptal edeceğini iddia eder. Sonuçta bastığınız "kaldır", yine yeni bir kötü amaçlı onaydır. Güvenlik bayrağı altında tam tersini yapar.
Bu sinyalleri görünce durun
Aşağıdakilere ne kadar uyuyorsa o kadar dikkat edin
- Cüzdanda birden ortaya çıkan, hiç almadığınız, katılmadığınız bir token ya da NFT var, adında üstüne bir web adresi de varsa.
- "Airdrop almak" için önce cüzdanı bağlayıp anlamadığınız bir onayı imzalamak gerekiyorsa, özellikle onay içeriğinde approve, unlimited ya da uzun büyük bir sayı geçiyorsa.
- Sayfa geri sayım, sınırlı kontenjan, "hemen etkinleştir yoksa iptal olur" diye sizi incelemeden basmaya itiyorsa.
- Bağlantı tanımadığınız bir özel mesajdan, gruptaki "yöneticiden", kısaltılmış bir bağlantıdan geliyorsa, kendi bulduğunuz resmî kanaldan değil.
- "Tehlikeli onayları algılayıp/kaldırmaya" yardım edeceğini iddia ediyor ama bir kez daha imza atmanızı istiyorsa.
Ayrı kaydetmeye değer bir deneyim var: gerçek proje sahipleri sıkıştırmaz. Düzgün bir airdrop'un alma penceresi olsa bile "bir daha basmazsan kaçar" söylemiyle sizi üç saniye içinde cüzdan bağlayıp imza atmaya zorlamaz. Ne kadar çok sıkıştırıyorsa o kadar büyük ihtimalle tuzaktır.
Airdrop'a güvenli katılma duruşu
Sizden airdrop'tan tamamen uzak durmanızı istemiyoruz; "tuzağa düşseniz bile kayıp sınırlı olsun" diye işi önceden ayarlamanızı istiyoruz.
- Yalnızca airdrop kovalamak ve yeni proje denemek için ayrı küçük bir cüzdan hazırlayın; içine yalnızca kaybetmeyi göze alabileceğiniz küçük bir miktar koyun, büyük varlığı koymayın.
- Her imza öncesi pencereye bir göz atın: imza mı, onay mı? Karşı taraf hangi kontrat adresi? Limit sınırsız mı? Anlamıyorsanız doğrudan iptal edin.
- Limit ayarlanabiliyorsa yetecek kadar bir limit verin, varsayılan sınırsızı geçirmeyin.
- Düzenli olarak bir onay yönetim aracıyla eski onayları gözden geçirip iptal edin: çoktan kullanmadığınız DApp'leri, tanımadığınız kontrat yetkilerini temizleyin, asılı bırakmayın.
- Gerçekten değerli varlığı soğuk cüzdanda (donanım cüzdanı) tutun; günlük etkileşim yaptığınız sıcak cüzdandan fiziksel olarak ayırın; sıcak cüzdan başınıza iş açsa bile soğuk cüzdana sıçramaz.
- Cüzdanda birden beliren şeyleri yokmuş gibi sayın: dokunmayın, almayın, takas etmeyin.
Tek satırlık kural
Cüzdan güvenliğinin asıl çizgisi "kanar mıyım" değil, "her onayı imzalamadan önce neyi istediğini anladım mı"dır. "Anlamıyorsam iptal" cümlesini kas hafızasına çevirin; onayla coin çalmanın büyük çoğunluğu içeri giremez.
Onay imzaladıysanız hemen bunları yapın
Şüpheli bir sayfada onay imzalamış olabileceğinizi yeni fark ettiyseniz, "gerçekten başıma iş açar mı" diye takılmayın, doğrudan aşağıdaki sırayla, ne kadar hızlı olursanız o kadar iyi, hareket edin.
Önce büyük varlığı kurtarın
Cüzdanda büyük bir miktar varsa ilk hamle iptali araştırmak değil, değerli varlıkları hemen şüpheli sitede hiç etkileşime girmemiş yepyeni bir cüzdana taşımaktır. Onay iptali zaman alır, varlık taşımak daha doğrudandır.
O şüpheli onayı iptal edin (revoke)
Bir onay yönetim aracıyla şüpheli adrese verdiğiniz onayı bulup iptal edin. Dikkat: iptalin kendisi zincir üstü bir işlemdir, ağ ücreti gerektirir; ağ yoğunken yeterince ücret verin, iptal yolda takılmasın.
Tüm şüpheli onayları temizleyin
Madem kontrol ediyorsunuz, tanımadığınız, çoktan kullanmadığınız tüm onayları toptan iptal edin ki başka bir gizli tehlikeyi kaçırmayın.
Bu cüzdanı bundan sonra alt kademede kullanın
Şüpheli bir sitede imza atmış bir cüzdanın güveni azalmıştır. Önemli varlıkları yeni bir cüzdanla yönetin, bu eski cüzdanı küçük miktarlar için, deney tarlası olarak bırakın.
Kanıtları saklayın, gerekirse başvurun
Şüpheli sitenin alan adını, işlem hash'ini, sohbet kayıtlarını ekran görüntüsüyle saklayın. Dolandırıldıktan sonra kanıt toplama, zararı durdurma ve başvuru için dolandırıldıktan sonra ne yapmalı yazımıza bakın; Türkiye'de e-Devlet üzerinden CİMER'e, MASAK'a ve polise başvurabilirsiniz.
"Geri almaya yardım" ikinci dalgasına yine kanmayın
Cüzdanın çalındığı duyulunca, çok geçmeden biri özelden "çalınan varlığını geri almaya yardım edebilirim", "önce biraz ücret öde yeter" yazar. Bunlar neredeyse hep mağdurları gözeten ikinci dalga dolandırıcılıktır; USDT geri alma / dondurma açma dolandırıcılığına dair çözümlememize bakın.
Sık sorulan sorular
Cüzdanıma birden bir token düştü, satabilir miyim?
Önce ona dokunmayın, hele de hiçbir sayfada "almaya" veya "takas etmeye" kalkmayın. Bu tür birden ortaya çıkan tokenlar çoğu zaman yem olarak kullanılır; token adında genelde bir web adresi gizlidir ve sizi bir kimlik avı sitesine, cüzdanı bağlayıp onay imzalamaya yönlendirir. Etkileşime girmezseniz o sadece cüzdanda duran bir sayıdır, tek başına coin kaybettirmez; ama o siteye gidip onay imzalarsanız asıl varlıklarınız tehlikeye girer.
İmza (signature) ile onay (approve) arasındaki fark nedir?
Sıradan zincir dışı imza genelde "bu cüzdan benim" demek için kullanılır, örneğin bir DApp'e giriş; tek başına varlıklarınıza dokunmaz. Onay (approve) ise zincire işlenen bir işlemdir; bir kontrat adresine "bundan sonra cüzdanındaki şu tokeni kullanabilirsin" yetkisini vermenizdir. Tehlike, onayın sınırsız limitli ve süresiz ayarlanabilmesidir; dolandırıcı onayı aldıktan sonra siz fark etmeden ilgili tokeni çekebilir. Ayrıca kimlik avı siteleri zararsız görünen ama aslında onaya ya da varlık transferine eşdeğer özel imzalar da hazırlar, bu yüzden anlamadığınız hiçbir imzayı onaylamayın.
Şüpheli bir sayfada onay imzaladım, para henüz çekilmedi, vakit var mı?
Olabilir, anahtar hız. Bir onay yönetim aracıyla o şüpheli adrese verdiğiniz onayı hemen iptal edin (revoke) ve cüzdandaki değerli varlıkları en kısa sürede, şüpheli sitede hiç etkileşime girmemiş yepyeni bir cüzdana taşıyın. İptalin kendisi de ağ ücreti gerektiren zincir üstü bir işlemdir. Varlığınız büyükse en güvenli yol önce varlıkları taşımak, sonra iptalle uğraşmaktır.
Donanım (soğuk) cüzdan kullanırsam onayla coin çalmadan korkmaz mıyım?
Donanım cüzdanı özel anahtarınızın çalınmasını engeller ama kendi elinizle imzaladığınız kötü amaçlı onayı engellemez — donanım cüzdanını bir kimlik avı sitesine bağlayıp sınırsız bir onayı onaylarsanız, karşı taraf yine de ilgili tokeni çekebilir. Soğuk cüzdanın doğru kullanımı yalnızca varlık tutmak, günlük etkileşimi olabildiğince azaltmaktır; zincirde dolaşıp denemek istiyorsanız ayrı, küçük bir sıcak cüzdan kullanın.
Zincirde anlamadığınız onaylar imzalamak yerine, büyük varlığı resmî kanalda tutun
Onayla coin çalmanın çok görülmesinin nedeni, birçok kişinin tüm servetini her gün her yerde etkileşime giren tek bir sıcak cüzdanda tutmasıdır. Daha sağlam bir yol şudur: günlük küçük denemeler için ayrı küçük bir cüzdan kullanın, gerçekten uzun süre tutmak istediğiniz varlığı büyük, düzenlemeye tabi bir borsanın resmî kanalından yönetin. OKX yaygın borsalardan biridir; aşağıdaki resmî kayıt bağlantısıyla ulaşabilirsiniz ve resmî alan adı okx.com'dur. Türkiye'de yasal sınırlar nedeniyle yalnızca spot işlemlere odaklanın; kaldıraç ve vadeli işlemler düzenleyici tarafından kısıtlanmıştır.
Devamında okuyun
- Sahte borsa ve kimlik avı klonları — sahte airdrop'un alma sayfası da özünde bir kimlik avı klonudur.
- Adres zehirlenmesi (transfer adresinin değiştirilmesi) — yine zincirde olur, hedefi de cüzdanınızdaki varlıktır.
- Sahte ön satış ve halı çekme (rug pull) — yine zincirde olur, ama onayı değil anaparanızı çalar.
- Dolandırıldıktan sonra ne yapmalı — onay çalındıktan sonra zararı durdurma, kanıt toplama ve başvuru sürecinin tamamı.