NFT Dolandırıcılarından Korunma Rehberi -1-

NFT DOLANDIRICILARINDAN KORUNMA REHBERİ 

-1-

Gün geçmiyor ki sosyal medyada birilerinin dolandırıldığı haberi duyulmasın. Dolandırıcılar yılmadan usanmadan, tam zamanlı çalışıyorlar. Genellikle botlar aracılığıyla sağlanan etkileşimlere maruz kalıp zokayı yutmamak için açıkgözlü olmak gerekiyor.

 

Sosyal medyada o kadar çok mağdur ve o kadar çok scam görüyorum ki, maalesef bunun artık normalimiz olduğu bir zamanda bu rehber olmazsa olmazımız.

Dolandırıcıyı şıp diye gözünden tanımaya ne dersiniz?  

İsterseniz NFT alanında en çok kullanılan yaratıcı dolandırma (scam / phishing) tekniklerine bir bakalım. Bunların hemen hepsinin toplum mühendisliği ürünü olduğunu yani sizin zaaflarınızdan ya da bilgi eksikliğinizden yararlanma amacı güttüğünü de belirteyim.

1- NFT'ni satın almak istiyorum ama...

Genellikle Facebook Messenger ya da Twitter üzerinden karşılaştığımız bu yemleme en sık karşılaşılan türlerden biri. Bunun en sık karşılaşılan yemleme olmasının sebebi, NFT üreten insanların bir çoğunun NFT hakkında neredeyse hiç bilgi sahibi olmaması, 'Ya tutarsa?! Belki birileri tıpkı o haberlerdeki gibi NFTlerime deli paralar öder, hayatım değişir' düşüncesi. Deli paralar kazanacağınız düşüncesi ile NFT koleksiyonu yapmaya kolları sıvamadan önce şu makalemi okumanızı tavsiye ederim.

Yemleme şöyle işliyor. Siz kendi NFTlerinizi satmak veya kitle edinmek için sosyal platformlarda paylaştığınızda çeşitli hashtag'ler veya anahtar kelimeler aracılığıyla botlarla yönetilen hesaplar size ulaşır. Ya size yorum yazarlar veya mesaj atarlar. Bazı sosyal platformlar bu yorumların bir çoğunu filtrelese de mutlaka aradan kaçanlar oluyor.

Bu yorum ve mesajlar her ne kadar çeşit çeşit olsa da ana fikir sizin NFTlerinizi çok sevdikleri, hatta bayıldıkları ve satın almak istedikleri üzerinde döner. Burada dikkat çeken bir nokta, size yorum veya mesaj olarak NFTlerinizi ne kadar beğendiklerini söyleyen kişilerin, siz onlarla iletişime geçtikten sonra bu NFTlerin linklerini tekrar istemeleridir. Bu çok tuhaf gelmeyebilir, 'boşver, sonunda biri satın almak istiyor işte!' diye düşünüp heyecana kapılabilirsiniz, ancak ilk mesaj ya da yorum (o da DM'e yönlendirir) bot tarafından atıldığı için ve zibilyon tane hesaba bu mesajlar gittiği için, karşınıza çıkan gerçek şahsın, sizin hangi posttan yakalandığınızı bulması zaman alır.

İkinci dikkat edilmesi gereken nokta, bu dolandırıcıların size yüksek miktarlarda para teklif etmeleridir. Zengin biriymiş gibi davranan bu şahıslar sizin üç beş dolara satmaya çalıştığınız NFTlerinize binlerce dolar değerinde kripto para vermeye çok heveslidirler. Bunun bir çoğunuz için heyecan verici olduğunu tahmin edebiliyorum ancak biraz NFTlerinizin değerini bilmenizde ve ayaklarınızın yere basmasında fayda var. 20 dolara listelediğiniz NFTnizi 2000 dolara almak isteyen tanımadığınız birinden veya bütün NFTlerinizi satın almak isteyen birinden direkt olarak şüphelenebilirsiniz.

Zaten, genel mantık olarak da liste fiyatından daha yüksek bir teklif vermek saçma olduğu için teknik olarak da teklifler sadece satışta olmayan veya satıştaki bir NFTnin fiyatının altında yapılabilir.

Gerçi bu dolandırıcılar çeşitli sebeplerle Opensea veya diğer platformlarda teklif veya transfer yapamayacaklarını söylerler. Ya çok zengin biri olduğu için gizliliğine önem veriyordur, ya daha önce dolandırılmıştır ve parasına artık çok dikkat ediyordur, ya bir problem çıkmıştır hata veriyordur, ya karşılıklı güven için sizi başka bir platforma davet eder, ya gas fee ödeyecek ETH'si yoktur... Bahane çok yani. Ancak biraz açıkgözlü olursanız bu bahanelerin hepsinin saçmalık olduğunu farkedebilirsiniz. Yani size 3 ETH'lik teklif yapan birinin 0,003 gas fee ödeyemeyecek olması ne kadar abesse, sizin NFTlerinizi listelediğiniz NFT platformlarından satın alamayacağını belirtmesi de bir o kadar abestir. Arkadaşlar, bu zaten blockchain'in ana fikrine aykırı. Şöyle anlatayım:

Siz bir sanat eserini NFT olarak listelediğinizde bu aslında seçmiş olduğunuz blockchain ağı üzerinde bir genesis bloğuna yazılır. Bundan sonraki tüm satışlar da zincirleme olarak genesis bloğuna bağlanan diğer bloklara yazılır ve bu transferlerin hepsi herkes tarafından görüntülenebilir. NFT olmasının özü de, sizin sonraki satışlardan alacağınız telifin özü de burada yatar. Hatta bir çok alıcı, sadece adı sevdiği sanatçıyla aynı blockchain'de geçsin diye bile satın alım yapabiliyor. Sanat eserinin satışı ve sahipliği, varolduğu blockchain ağından çıktığı anda o artık sahte bir ürün olur. Ne kadar abes olduğunu görüyorsunuz değil mi? Dolayısıyla size çeşitli sebeplerle hariçten para yollayacağını söyleyip sizin de NFTnizi hariçten yollamanızı isteyen kişilerle iletişimi kesmenizde fayda var.

Bu dolandırıcıların amacı genellikle sizi ne idüğü belirsiz bir takım sitelere ya da uygulamalara yönlendirip buralara cüzdanınızı bağlamanızı sağlamaktır. Transfer yapacağım diye vereceğiniz izinler, yani imzalayacağınız kontrat muhtemelen tüm cüzdanınızı boşaltacaktır.

2- NFT Airdrop:

Cüzdan adreslerinin ortalıkta dolaşmasının güvenli olup olmadığı, bir dönem bayağı bir tartışılmıştı. Bunun ana sebebi bu scam çeşidiydi. Cüzdan adresleriniz IBAN numaraları gibidir ve siz paylaşmasanız da, üye olduğunuz NFT platformunda görünür durumdadır. Özetle cüzdan adreslerinizin bilinmesi sizi bir tehlikeye sokmaz. Ancak adresinize gönderilen bir NFT ile etkileşime girmek sokabilir. 

Birçok insan zannediyor ki NFT olan herhangi birşey çok değerli çünkü zengin etme potansiyeli var. Dolandırıcılar da tam olarak bu bilgisizliği hedefliyor. Bir NFTnin sizi zengin etme potansiyeli elbette olabilir. Ancak size genellikle Facebook ve Twitter üzerinden paylaştığınız adreslere bedavadan, hatta haberiniz bile olmadan gönderilen, göndereni belirsiz bir NFTnin sizi zengin etme ihtimali sıfır olmakla birlikte, elinizdekini de alma potansiyeli oldukça yüksektir. Çünkü, bir NFT ile etkileşime girdiğinizde aynı yukarıdaki scamde bahsettiğim gibi cüzdanınızda bir akıllı kontrat imzalamanız gerekir. Eğer Solidity programlama dilini bilmiyorsanız bu kontratta ne yazdığını da bilmiyorsunuz demektir. NFT platformlarının da her NFT koleksiyonunun kontratını gözden geçirecek kadar vakti yok. Dolayısıyla sadece güvendiğiniz kaynaklardan edindiğiniz varlıklarla etkileşime geçmeli, sadece güvendiğiniz kontratlara imza atmalısınız. Aksi takdirde cüzdanınızdaki bütün varlıkları kaybetme riskine girebilirsiniz.

Size bedavadan gelen bir NFTyi belki 5-10 dolar kazanırım düşüncesiyle sadece listelemek bile sizi riske sokar. Bu tip dolandırıcılık girişimlerinin bir parça önüne geçmek için Opensea size transfer edilen (sizin mint ettiğiniz NFTler dahil) bütün NFTleri hidden klasörüne atar ki görmeyesiniz. NFT platformlarının doğruladığı koleksiyonlar ve kişiler ise net güvenilirdir. 

Tabi ki bu demek değil ki her NFT Airdrop zararlı NFTler içermektedir. Bazı kitlesi küçük bağımsız sanatçılar da görünürlüklerini artırmak için ellerindeki bazı NFTleri dağıtabilir. Hatta bence bu noktada bu özgün NFTler birine vereceğimiz ömürlük hediyeler haline de gelebilir. Bu aradaki farkı ayırt etmek için benim dikkat ettiğim konular şöyle:

  • Bahsi geçen NFT ne kadar özgün? Yani gerçekten yaratıcı bir sanatçıya mı ait? Bilindik NFT projelerini taklit edenler ya da gerçekten bu projelerden birine ait NFTleri vereceğini iddia edenler genellikle çok değerli birşey verdikleri havasındadırlar ve dolandırıcıdırlar.

  • Bahsi geçen NFT, bir koleksiyonun parçası mı? Koleksiyonun ne anlama geldiğini tanımlamak için şu espirili görseli paylaşayım.


  • NFT koleksiyonuna bilindik bir NFT platformundan link var mı? Tek bir NFT resmi koyup adres isteyenler genellikle scam peşindedir. Oysa ki niyeti gerçekten kendini tanıtmak ve kitle yaratmak olan kişiler koleksiyonlarının ya da diğer sosyal medya hesaplarının linkini bırakırlar. Bazı Facebook gruplarının aşağıda bahsedeceğim başka türlü scamlerden dolayı link paylaşımını yasakladıklarını da belirteyim. 

  • NFT koleksiyonu tutarlı mı? Görsel ve tarz olarak birbirleriyle uyumlu görsellerden oluşan bir koleksiyona mı sahip yoksa oradan buradan toplama, çorba ya da tek bir parçadan oluşan bir koleksiyona mı sahip? Gerçek bir sanatçıdan çıkan koleksiyonun çizgisi tutarlı ve özgün bir tarza sahiptir.

  • NFT koleksiyonunun bir adı var mı yoksa "İsimsiz koleksiyon" veya "Untitled Collection" mı? Aynı şekilde NFT'lerin isimleri birbiriyle tutarlı mı?

  • Airdrop'u yapan kişi az çok tanıdığınız, sohbetinizin olduğu ya da yorumlarını, postlarını görüp beğendiğiniz gerçek bir insan mı? Daha önce neler paylaşmış buna da bakılabilir.

  • Airdrop'u yapan kişi vereceği NFT karşılığında sizin herhangi bir şekilde etkileşim yaratmanızı talep ediyor mu? Etmesi samimiyetini gösterir. Oysa bir dolandırıcı şansını artırmak için böyle şeyler talep etmez. Sadece adresinizi ister.

    Görselde yollayacağı NFT'nin görselini bile paylaşmayan bir post görüyorsunuz. Sadece adres istiyor.

Mesela ben de pek tanıyanı olmayan bir sanatçı olarak görünürlüğümü artırmak amacıyla Opensea'deki Trippy Letters koleksiyonum için bir airdrop eventi düzenlemiştim. Bu event için koleksiyondaki parçaları kullanarak animasyon yapmıştım.

 
Bazı NFT projeleri de, resmi Twitter veya Discord kanalları aracılığı ile yine bir takım etkileşim karşlılığında çekilişle veya yarışmayla ödül olarak NFT verebiliyor. Hatta bu NFTler birkaç yüz dolardan birkaç bin dolara kadar değerli de olabiliyor. Evet herşey de scam değil canım. Önemli olan ayırt edebilimek.

3- Sahte NFT koleksiyonları:

En sık görülen dolandırıcılıklardan biri de, kaldırmak için NFT platformlarına ekstra mesai harcatan sahte NFT koleksiyonlarıdır. Burada dolandırıcı, siz Opensea, Rarible gibi platformlarda NFT alışverişine çıktığınızda orijinalini taklit eden koleksiyonlarla sizi avlamak ister. Özellikle Opensea'nin, NFT yaratım sürecini oldukça kolaylaştırması ve ücretsiz kılması, maalesef kötü niyetli kişilerin, sanatçı veya projelerin eserlerini çalıp bunları satışa çıkarmasına da yol açtı.

Bu tuzaklardan birine düşerseniz, satın aldığınız NFT beş para etmez kopya bir jpeg dosyası olacaktır. İyi haber ise, normalde ödeyeceğiniz tutardan çok daha azını ödeyecek olmanızdır. Çünkü scammer biri farkına varmadan ve koleksiyon kaldırılmadan önce satış yapmak ister. Aslında konuya buradan da uyanabilirsiniz.

Başka nerelerden uyanabilirsiniz?

  • Sahte koleksiyonun parça adedi orijinal koleksiyondan ciddi oranda düşüktür çünkü bu işe soyunan acemi dolandrıcının bunu manuel olarak yapması gerekir ve bu da uzun ve yorucu bir iştir. 

  • Total Volume, platform sahte koleksiyonu kaldırana kadar dolandırdığı insan sayısına bağlı olarak ya 0.00'dır veya çok düşüktür.

  • Owner sayısı da yine dolandırdığı insan sayısına bağlı olarak oldukça düşük olacaktır. Çok büyük ihtimalle 10'un altında olacaktır yani. (Opensea ben bu makaleyi yazarken bu arayüzü değiştirdi. Artık owner sayısı adet olarak değil yüzde olarak yazıyor. Yüzdeden de hesaplayabilirsiniz.)

  • Sahte koleksiyonlarda Twitter, Discord, Instagram vs gibi sosyal medya linkleri bulunmaz.

  • Bu koleksiyonlar manuel olarak upload edildiği için gas ücreti ödememek adına genellikle Polygon'da yapılır. (Eğer orijinalinin başka bir ağda olduğunu biliyorsanız oradan uyanabilirsiniz.)

  • Properties düzgün bir biçimde veya hiç yapılmamıştır. Mesela Head özelliği yazmıyordur.

  • Sahte koleksiyonun isminin sonunda "official", "1", "." gibi ibareler bulunur veya orijinal koleksiyonun isminin bazı harflerinin yeri değiştirilmiş olur. Orijinal proje birden fazla koleksiyona sahipse, bu koleksiyon isimlerinin bir karışımı olabilir.

  • Son olarak kontratlardan bahsetmek istiyorum. Eğer satın almak istediğiniz koleksiyonun akıllı kontrat tarafından (resmi web sitesi üzerinden) mint edildiğini biliyorsanız, NFT'nin detaylar bölümündeki kontrat numarasına tıklayıp açılan sayfadan koleksiyon bilgilerine bakabilir, aradığınız proje olup olmadığını kontrol edebilirsiniz. Yukarıda bahsettiğim gibi, sahte koleksiyonlar manuel olarak upload edildiği için, akıllı kontratına baktığınızda Opensea bilgilerini göreceksiniz.Tabi bu demek değil ki her manuel olarak mint edilmiş koleksiyon sahtedir. Özgün işler yapan, fotoğraf, el çizimi gibi sanat alanlarından işlerini NFT yapan sanatçılar da bunları manuel olarak mint eder.

    Kontrat adresine maviyle belirtilen yerden tıklayabilirsiniz.
    Ayrıca dikkat ederseniz Properties bölümü yok. Hiç yapılmamış.

  • Görselde DeltaFlare'ın sahte bir koleksiyonunu görüyorsunuz. Bu güzel bir örnek çünkü yukarıda yazdıklarıma uymayanlar var ama yine de bunun sahte bir koleksiyon olduğunu anlayabiliyoruz.
    Görselde 1 numarada, belirttiğimin aksine koleksiyondaki NFT adedi orijinalinin çok üzerinde. Burada scammer birçok kişiyi avlayacağı düşüncesiyle ciddi bir çalışma yapmış.
    2- Total volume 0.00
    3- Owner sayısı çok düşük. Bu örnekte hiç satış olmadığına göre, birkaç cüzdana bölmediyse 1 olmalı.
    4- Sosyal medya linkleri paylaşılmamış
    5- Properties yok.

    Kontrata tıkladığınızda Opensea bilgilerini görürsünüz.
    *Unutmayın ki bu tek başına değerlendirilecek bir kriter değildir çünkü bazı sanatçılar da orijinal işlerini manuel olarak mint edebilir.
     
     

    Burada yine belirttiğimden farklı olarak dolandırıcı sahte koleksiyonu, orijinali gibi Ethereum ağı üzerinde mint etmiş ve bunun için gas fee ödemiş. Bu da gösteriyor ki tek bir kritere bakarak değerlendirmekten ziyade kollektif bir değerlendirme yapmak gerekiyor.



    Oysa Orijinalinde...

    Kontrat adresine tıkladığınızda proje orijinalse görseldeki gibi projenin
    resmi koleksiyonuna ait güncel bilgileri bulabilirsiniz.

 

Bu tip bir scamden korunmanın en etkili yolu, zaman ayırıp biraz araştırma yapmak ve yatırım yapmayı düşündüğünüz NFT projesinin resmi Discord sunucusuna katılıp birinci elden bilgi almaktır. Resmi Twitter hesabı üzerinden de doğru bilgilere ulaşabilirsiniz. Tabi bunların da taklitleri mevcut. Taklit hesapları bir çırpıda anlamak için okumaya devam edin :)

4- Opensea Scam:

Opensea, 1 Temmuz'da gönderdiği bir e-mail ile veri tabanındaki e-mail adreslerinin 3. parti bir şirket çalışanı tarafından sızdırıldığını bildirdi. Bunun çok büyük bir güvenlik sorunu yarattığını belirtmeliyim. Ancak Opensea'nin bunu saklaması daha da büyük bir güvenlik sorunu yaratırdı.

Sizin e-mail adreslerinizi çalanlar veya sattıkları yetkisiz üçüncü partiler Opensea'yi taklit ederek sizi dolandırabilir. Size Opensea'nin harflerinin yeri değiştirilerek (mesela Opensae.io) oluşturulan ve tıpkı Opensea'nin arayüzüne benzeyen domainlerden e-mail gelebilir. Bu e-maillarda size indirmeniz için virüslü dosya ekleyebilir, tıklamanız için yine domain'i opensea.io olmayan linkler bırakabilir, sizden çeşitli sebeplerle seed phrase'inizi isteyebilirler. Bu scamlerin en çok bilineni ise NFTnize teklif geldi şeklinde bir e-maildır. Burada butona saklı linki heyecanla tıklayabilir, açılan sitenin Opensea olduğunu zannedebilirsiniz. O yüzden gelen e-mailların domain'ini kontrol etmenizde fayda var.

Sahte bir Opensea sitesi. Domain'e dikkat ederseniz bunun tam bir
phishing tuzağı olduğunu göreceksiniz.


Görseldeki sitede cüzdana tıkladığınızda size şifrenizi değil seed phrase'inizi soracaktır. Normalde seed phrase sadece yeniden cüzdan uygulaması yüklediğinizde veya şifrenizi değiştirmek istediğinizde sorulur.

 

Buna bağlı olarak yapılan dolandırıcılık girişimlerinden biri de karekod uygulamasıdır. Dolandırıcı size Opensea yardımı gibi davranarak veya 1. maddede anlattığım şekilde bir transfer yapabilmek için Opense'nin güvenlik nedeniyle artık karekod uygulamasına geçtiğini söyler. Hatta inanmazsanız bunu kanıtlamak için hazırladıkları, tıpkı Opensea'ninkine benzer sahte bir açıklama sayfası da hazırdadır.

Arkadaşlar, karekod aslında en tehlikeli uygulamalardan biridir çünkü sizi yönlendirdiği linkin domain'ini göremezsiniz. O yüzden genel bir kural olarak güvenmediğiniz kaynaklardan asla kare kod okutmayın. Zararlı bir siteye gitmek demek bilgisayarınıza virüs yüklenmesi anlamına gelebilir. Bu virüsün neler yapabileceğini de ancak Allah bilir. Hele ki bu sitede işlem yapmak için cüzdanınızı bağlarsanız bu cüzdandaki NFTler dahil herşeyi kaybedebilirsiniz.

*NOT*
Güvenip güvenemeyeceğinizden emin olamadığınız siteleri ve uygulamaları test etmek için test amaçlı oluşturacağınız boş veya içinde çok küçük paralar olan bir cüzdanı bağlayabilirsiniz.

Diğer dolandırıcılık çeşitlerini ve dolandırıcılıklardan büyük ölçüde korunmanızı sağlayacak, edinmeniz gereken alışkanlıkları öğrenmek için hazırladığım yazının 2. bölümününe şuradan devam edebilirsiniz.

Yorumlar

Popular Posts

BİR NFT DEĞERİNİ NEREDEN ALIR?

NFT NEDİR?