NFT Dolandırıcılarından Korunma Rehberi -2-

NFT DOLANDIRICILARINDAN KORUNMA REHBERİ 

-2-

Devam niteliğinde olan bu rehberde NFT alanında rastlanan yaratıcı scam çeşitlerini öğrenmeye devam ediyoruz. 


Eğer 1. bölümü okumadıysanız şuradan ulaşabilirsiniz.

5-Seed Phrase Phishing (Honeypot): 

Bu yemleme türünü oldukça enteresan bulduğumu söylemeliyim. Burada dolandırıcı kurban rolüne bürünür. Bir şekilde nasıl para aktaracağını ya da swap yapacağını bilmiyordur ve çaresizdir. Ekran görüntüsünü attığı ağız sulandırıcı parayı acilen USD'ye çevirmesi gerekiyordur. Hatta o kadar acildir ki sizin ona yardım etmeniz için ulu orta seed phrase'ini paylaşır. Arkadaşlar seed phrase'inizi birine vermeniz, ona kasanızın anahtarını vermeniz demektir.

 
Hal böyle olunca siz de ister istemez 'aaa salağa bak, dur şunun cüzdanını boşaltayım' dersiniz. Bunu dediğiniz anda zokayı yuttunuz demektir. Gerçi bu scam çeşidinde çok bir para kaybetmiyorsunuz ama yine de, diğer bütün scam çeşitlerinden farklı olarak kötü niyetli birilerinin dolandırılması adına ben bu fikri akıllıca bulduğumu belirtmeden geçemeyeceğim. Scam şöyle işliyor:

Siz bu seed phrase'i import ettiğinizde, tıpkı ekran görüntüsünde paylaşılan miktarı cüzdanda görürsünüz. Tam 'hehe' derken... o da ne? Bir problem vardır: Cüzdanda bu parayı aktarmak için gereken gas fee'yi ödeyecek para birimi (ETH diyelim) yoktur. Bu gas fee'yi ödeyecek kadar cüzdana ETH aktarmanız gerekiyordur. Bu -başka blockchain lokal para birimleri ihtimalini de düşünürsek- ortalama 1 dolarla 10 dolar arasında değişen bir rakam yapar. Tabi bu miktara kendi transfer ücretinizi de eklemeyi unutmayın.

Scammer, yazdığı bir bot sayesinde cüzdana giren ETH miktarını anında başka bir cüzdana aktarır. Daha doğrusu, o miktar o cüzdana girmez bile. Direkt olarak önceden belirlenen cüzdana gider.

Bu, işin sadece bir boyutu. Scammer'ın asıl niyeti, işlediği daha büyük bir suçu örtmek olabilir. Siz bu seed phrase'i import ettiğinizde bu cüzdanı takip eden, bu şahsı arayan kişiler sizin IP numaranıza ulaşırlar. Merak etmeyin size birşey olmayacaktır çünkü sürekli olarak başka kurbanlar bu cüzdana dünyanın farklı yerlerinden erişim sağlayacaklardır. Böylece suçlu, bulunmasını oldukça karmaşık ve zor bir hale getirecektir.

Bunun başka bir boyutu da para aklamaktır. Biraz önce belirttiğim suça dahil olan paranın takibinin de zorlaştırılması gerekir. Cüzdanda size bal tuzağı olarak gösterilen, bu paranın çok küçük bir miktarıdır. Sizin (ve sizin gibi birçok kişinin) gas fee olarak yolladığınız miktar başka bir cüzdana gider. Bu gidenlerin bazıları yine aynı ekibin aktardığı paralardır. Sonra aynı ekibin başka cüzdanlarına bu cüzdandan çeşitli miktarlarda para gider. Bu şekilde parçalama yoluyla ufak ufak para aklanır.

6- Rug-pull: 

Ünlü rug-pull'ları unutmamak lazım. Rug-pull, bir projenin (bu yazıda NFT projesi oluyor) geliştiricilerinin güzel, ilgi çekici bir sanat eseri koleksiyonu yaratıp müthiş bir pazarlama ile oldukça yüksek bir hype yaratması ve bu hype'a kapılan kalabalık bir topluluğu etrafında topladıktan sonra genellikle mint sonrası elde ettikleri yüzbinlerce dolarla sırra kadem basmalarıdır. Herkes elindeki 5 para etmez NFTlerle kalakalır. Bazı durumlarda elde NFT de kalmaz. Böyle bir dolandırıcılığın mağduru olmamak için dikkat edilmesi gerekenleri şöyle sıralayabilirim:

  • Projenin Discord, Telegram, Twitter gibi sosyal medyalarını takip edip etkileşimin organik olup olmadığını görebiliriz. Bunun yanında geliştiricilere direkt olarak ulaşabiliyor ve soru sorabiliyor olmak önemli bir göstergedir. Tabi daha da önemlisi, geliştiricilerin zor sorular karşısında takındıkları tavır. Eğer sıkıştıklarında sizi engelliyorlar veya sesinizi kapatıyorlarsa büyük ihtimal dolandırıcıdırlar. Ama en zor sorular karşısında bile soğukkanlılıklarını koruyor, sinirlenmeden, sakinlikle cevap veriyorlarsa hanelerine artı puan yazabilirsiniz. Nihayetinde geliştiricilerin, yani ekibin kendi projelerine sonuna kadar güvenmeleri gerekir, öyle değil mi? 

  • Geliştirici ekibin KYCastle gibi güvenilir platformlarda kimliklerini ifşa etmiş olmaları artıdır çünkü bu davranış, bir rug-pull düşünmedikleri anlamına gelir. Projenin başarılı olacağını garanti etmez ama kötü niyetli bir davranış karşısında en azından kimlikleri ortadadır.

  • Geliştiricilerin isimlerini ve geçmişlerini, çalıştıkları alanlarda daha önce neler yaptıklarını araştırın. Web sitelerinde herhangi birilerinin fotoğraflarının kullanılabileceğini ve sahte özgeçmişlerle süslenebileceğini unutmayın.

  • Genellikle bu tip dolandırıcılıklar kısa sürede yüksek kazançlar vaat ederler.

    Ekstra önlemleri de şöyle sıralayayım: 

  • Denetleme raporunun (audit report) olup olmadığına bakın. Şunu da belirteyim, bunun maliyeti çok yüksek olduğu için bütün projeler, iyi niyetli de olsalar bunu karşılayamayabilirler. Bunun yanında bir proje denetlenmiş olabilir ama kötü bir raporu olabilir. Kodlarında açık olması gibi mesela. O yüzden bu raporu okuyup kendiniz karar verin.

  • Bu her ne kadar geliştirici ekiple alakalı olmasa da yatırım yapmayı düşündüğünüz projenin NFT dağılımına bakın. Eğer çok miktarda NFT birkaç balina cüzdanda duruyorsa bu kırmızı alarmdır. Çünkü varlıkların çoğunluğunu elinde bulunduran bir ekip fiyatları istediği gibi kontrol eder. Fiyatı kısa sürede yükseltirler ve sonra hype yaratınca yükselttikleri fiyattan hepsini satıp oyundan çıkarlar. Siz de elinizdeki, taban fiyatı dibe vurmuş NFTlerle kalakalırsınız. Etherscan, Polygonscan ve BSCScan gibi kanallardan NFT dağılımını inceleyebilirsiniz.

    Aslında proje ekibi bunun olmasını akıllı kontratlar vasıtasıyla bir parça önleyebilir. Şöyle ki; cüzdan başına mint adedini sınırlayabilir. Ama siz bunu sadece genel bir bilgi olarak düşünebilirsiniz çünkü bir balina veya ekip de buna karşılık bütün varlıkları çok sayıda cüzdana dağıtabilir. Böylece ne takip edebilirsiniz ne de proje ekibi bunun önüne geçebilir. Büyükler liginde rakip projeye böyle atakların olduğu biliniyor.

7- Bidding scam:

Bunun iki çeşidi var. Birincisinde siz satıcısınız. Bir NFTyi müzayedeye çıkardığınızda doğal olarak istediğiniz para birimini seçersiniz. Ama bazı dolandırıcılar teklif verirken bu para birimini değiştirerek dikkatsizliğinizden faydalanmak isterler. Mesela 5 ETH ederindeki NFTnize, teklifin para birimine dikkat etmezseniz 5$ alabilirsiniz.

İkincisinde ise siz alıcısınız. Bu scamde örneğin 0,05 ETH değerindeki bir NFTyi satın almak istiyorsunuz. Scammer, özellikle çok fazla alış satışın olduğu, hype'ın yüksek olduğu koleksiyonlarda sahip olduğu NFTlerin fiyatını sürekli olarak iptal eder, bir ondalık yükselterek yeniden listeler. Bu örnekte cüzdanınızda mevcutsa ve satın almadan hemen önce dikkat etmezseniz 0,5 ETH ödemeniz işten bile değildir.

8- Taklit hesaplar:

Birçok scam de başkalarının hesaplarını taklit ederek yapılıyor. Bu scam en çok Twitter, Discord ve Telegram'da görülmekle birlikte taklit edilen hesaplar genellikle meşru ve tanıdık hesapların taklitleridir. Mesela Discord ve Telegram'da içinde bulunduğunuz server ya da kanalın moderatörünün veya geliştirici ekipten birinin nickname'ini ve profil fotosunu kullanarak size DM atar ve sizden kişisel bilgilerinizi, seed phrase'inizi, şifrenizi ya da ödünç para talep edebilirler. Size özel bir fırsat sunduklarını söyleyip bir linke tıklamanızı isteyebilirler. Discord'da bir sunucuya girdiğinizde girdiğiniz sunucudan size mesajlar gelebilir. Bu dolandırıcılar bazen son haberlerden de haberdardır ve botlarını ona göre yazarlar. Sanki yeni gelenleri karşılıyormuş ve şu mintten indirim kazanmışsınız gibi.

Burada sahte bir link görüyorsunuz. Doğru link immutable.com

Burada çok çeşitli scamler dönebilir. O yüzden en doğrusu gelen mesajı sunucunun ana kanalında doğrulamaktır. Genellikle Discord kullanıcıları bu gibi tuzaklara düşmemek için DM'lerini kapatırlar. Bu durumda birinin sizinle konuşabilmesi için arkadaşlık talebi göndermesi gerekir.

Discord'da sahte bir hesabı anlamanın en basit yolu # ile başlayan 4 haneli koduna bakmaktır. Eğer arkadaşınızı veya bulunduğunuz sunucudaki yüksek rütbeli birini taklit ediyorsa, bu kişilerin sunucudaki koduyla karşılaştırmanız ya da rollerine bakmanız yeterli olacaktır. Veya daha önce bu kişiyle konuştuysanız, yeni bir sohbet başlangıcı açılmasından anlayabilirsiniz.

Burada akıllı dolandırıcımız harika bir fırsatı arkadaşıyla paylaşacakmış da yanlışlıkla size atmış gibi yapar. Siz de bu fırsattan hemen yararlanmak isterseniz Opensea'nin sahte bir versiyonuna yönlendirileceksiniz. Dikkat ederseniz link opensea.io değil opensea.fo!

Twitter'da ise orijinal hesabın birebir kopyasını yaparlar ve size DM atarak yukarıda bahsettiklerime benzer şeyler isteyebilirler veya size şanslı biriymişsiniz gibi davranıp bazı transferlere yönlendirebilirler. 

Twitter'da taklit hesapları ayırt etmenin en iyi yolu @handle'larına bakmaktır. Bunlar da tıpkı sahte sitelerin harfleri karıştırılmış domain'leri gibi orjinaline benzer @handel kullanırlar. Sahte hesabı kolayca anlamanın bir başka yolu da takipçi sayılarına bakmaktır. Genellikle çok düşük sayıda takipçileri vardır ve yine genellikle takip ettikleri, takipçilerinden daha fazladır. Katılım tarihine bakmak da bir başka yoldur.

Twitter handle'ına dikkat ederseniz @DCLBlogger değil @DLCBlogger olduğunu görürsünüz. Hesap onun dışında orijinaliyle birebir aynıdır.

Ben ayrıca tanıdığım birini taklit eden kişinin kelime seçimlerinden, cümleyi nasıl kurduğundan, nasıl konuştuğundan, davranışlarından da anlıyorum.


Düstur edinmemiz gereken davranışlar

  • Seed phrase'inizi ve şifrenizi hiçbir koşulda başkalarıyla paylaşmayın! Asla diğer sitelerde kullandığınız şifreleri kullanmayın. Basit şifre hiç kullanmayın. Burada kaybedeceğiniz İnstagram hesabınız değil.

  • Tanımadığınız birinin yönlendirmesiyle bir eylem gerçekleştirmeyin. Kimse size durduk yere mesaj atıp harika bir haber vermez. Hele ki sizi acele ettirmeye çalışıyorsa iki kere düşünün.

  • Güvenmediğiniz, bilinmeyen kaynaklardan gelen linklere tıklamayın, özellikle de QR kod okutmayın. Böyle bir uygulama yok.

  • Cüzdanınızın bağlantısını, güvendiğiniz bir site bile olsa, işleminiz biter bitmez kesin. Her kurum halka açık olarak hacklendiğini ilan etmeyecektir.

  • Bir sitede cüzdan bağlamadan önce mutlaka dikkatlice domain ismini okuyun. Örnek veriyorum: opensea.io yerine opensea.com ya da opensea.fo gibi hileler olabilir.

  • Google ve diğer sosyal medya reklamlarına gözünüz kapalı güvenmeyin. Bu dev platformlar parasını aldıktan sonra kimin ne olduğuna bakmıyor. Google aramanızda ilk link orjinalinin taklidi olabiliyor. Facebook ise tabiri caizse sahteciliği teşvik ediyor. Bugüne kadar rapor ettiğim hiçbir scam/phishing/spam postu ya da yorumu kaldırılmadı.

Burada belirtmeliyim ki iş dolandırıcılığa geldiğinde hayal gücünün sınırı yok. İleride bu listede hiç bulunmayan tipte yeni dolandırıcılıklar çıkacağından eminim. Ancak bir kere sezgileriniz bu tip hareketlere alıştığında ve yukarıdaki davranışları kendinize düstur edindiğinizde çoğu scamdan içgüdüsel olarak kaçınabileceksiniz. Bu rehberin buna yardımcı olacağına inanıyorum.

Yorumlar

Popular Posts

BİR NFT DEĞERİNİ NEREDEN ALIR?

NFT Dolandırıcılarından Korunma Rehberi -1-

NFT NEDİR?