Önce Sonuç: NFT Dolandırıcılığı Her Yıl Milyarlarca Dolar
Chainalysis verilerine göre yalnızca 2022'de NFT ile ilgili dolandırıcılık ve hırsızlık 100 milyon doları aşan kayba yol açtı; gerçek rakam çok daha yüksek olabilir, çünkü mağdurların çoğu sessiz kalıyor. NFT dünyasında müşteri hizmetleri ve "geri al" düğmesi yok; dolandırıldıysan kaybı geri almak neredeyse imkânsız. Tuzakları tanımak, kendini korumanın ilk adımıdır.
İçindekiler
- 1. Rug Pull (Ekibin Kaçması)
- 2. Sahte NFT (Taklit Koleksiyon)
- 3. Oltalama Linkleri (Sahte Site/Discord)
- 4. Kötü Niyetli Sözleşme Yetkisi
- 5. Sahte Airdrop
- 6. Ünlü Adıyla Dolandırıcılık
- 7. Wash Trading (Sahte Hacim)
- 8. Topluluk Dolandırıcılığı (Sahte Destek)
- Güvenli Davranış Kontrol Listesi
- Tehlike Sinyalleri: Ne Zaman Durmalısın?
- Sık Sorulan Sorular
- Kaynaklar
1. Rug Pull (Ekibin Kaçması)
Rug Pull, kelime anlamıyla "halıyı çekmek" demektir — halının üzerinde durursun, biri halıyı aniden çeker, sen düşersin. NFT dünyasında ekip önce ortalığı kızıştırır, hayaller pazarlar, çok sayıda NFT satar; havuz dolunca kaçar, sosyal medya hesaplarını kapatır, siteyi indirir, Discord sunucusunu siler.
Nasıl Tanınır
- Anonim ekip: Hiçbir üye gerçek kimliğini açıklamaz (doxxed değil); kimseyi doğrulayamazsın.
- Aşırı iddialı yol haritası: Hem oyun, hem token, hem metaverse — ama ekip 3 kişi.
- Sözleşme kodu kapalı: Arka kapı olup olmadığını doğrulayamazsın.
- Acele ettiren mint baskısı: Sürekli FOMO: "Son 2 saat!", "Yalnızca 100 adet kaldı!"
- Topluluk denetimi: Her eleştiri anında silinir veya yasaklanır.
2. Sahte NFT (Taklit Koleksiyon)
OpenSea gibi bir pazarda "Bored Ape" aratırsan birbirine benzeyen onlarca koleksiyon görebilirsin. Dolandırıcılar bilinen projelerin görsel ve adını kopyalar, taklit sözleşme oluşturur ve ucuza satıp seni kelepir bulduğuna inandırır. Gerçek BAYC taban fiyatı zirvede 100 ETH'i aşmışken biri sana 0,05 ETH'e satıyorsa, o kesinlikle sahtedir.
Nasıl Tanınır
- Doğrulama rozetine bak: OpenSea gibi platformlar resmi koleksiyonlara mavi onay verir.
- Sözleşme adresini karşılaştır: Projenin resmi sitesinden/sosyal hesabından adresi al, karakter karakter karşılaştır.
- Oluşturma tarihi ve hacme bak: Taklitler genelde yeni oluşturulmuş ve düşük hacimlidir.
- Anormal düşük fiyat: Taban fiyatın çok altındaysa büyük ihtimalle sahtedir.
3. Oltalama Linkleri (Sahte Site / Discord)
Bu, NFT dünyasının en sık görülen dolandırıcılığı. Dolandırıcı, gerçeğine neredeyse birebir benzeyen bir site yapar; alan adı tek karakter farklıdır (örneğin opensea.io yerine 0pensea.io). Sonra Discord DM'i, sosyal medya yorumu, oltalama e-postasıyla yayar. Girip cüzdanını bağladığında, NFT mint ettiğini sanırken aslında cüzdanındaki tüm NFT'leri dolandırıcıya devreden bir işlemi imzalarsın.
URL Kontrol Yöntemi
- Elle yaz: Başkasının attığı linke tıklama; resmi adresi tarayıcıya kendin yaz.
- Alan adını incele:
lile1,oile0,rnilemfarkına dikkat et. - https yetmez: Adres
https://olmalı ama https güvenli demek değildir; dolandırıcı da SSL sertifikası alabilir. - Yer imi kullan: Sık kullandığın NFT sitelerini yer imine ekle, hep oradan gir.
4. Kötü Niyetli Sözleşme Yetkisi (setApprovalForAll)
Teknik olarak en sinsi dolandırıcılık. Bir akıllı sözleşmeyle etkileşime girdiğinde MetaMask bir yetki isteği açar. Çoğu insan içeriği okumadan "onayla"ya basar — ama onayladığın şey setApprovalForAll ise, o koleksiyondaki tüm NFT'lerin transfer yetkisini karşı tarafa vermiş olursun. Dolandırıcı bu yetkiyle, sen tekrar onaylamadan istediğinde cüzdanını boşaltabilir.
Korunma
- MetaMask penceresini dikkatle oku:
setApprovalForAllgörürsen mutlaka dur ve düşün. - Revoke.cash kullan: Verdiğin yetkileri düzenli kontrol et ve gereksizleri iptal et. revoke.cash adresinden cüzdanını bağlayıp tüm yetkileri görebilirsin.
- Sıcak/soğuk cüzdan ayır: Değerli NFT'leri soğuk cüzdanda tut, günlük işlemleri sıcak cüzdanla yap; sıcak cüzdan çalınsa bile kayıp sınırlı kalır.
setApprovalForAll, ev anahtarını bir yabancıya verip "istediğin zaman gelip eşyalarımı taşıyabilirsin" demek gibidir. O an sorun görmesen de, kişi istediği zaman evini boşaltabilir.5. Sahte Airdrop (Cüzdana Aniden Düşen NFT)
Bir gün cüzdanını açarsın, hiç almadığın NFT'ler görürsün; adı "xxx.com'da 10 ETH al" gibi ya da değerli görünen bir koleksiyon olabilir. Sakın tıklama. Bu NFT'lerin akıllı sözleşmesinde kötü niyetli kod gömülü olabilir. Satmaya, transfer etmeye, hatta detayını görüntülemeye çalıştığında (sözleşme etkileşimi tetiklenirse) setApprovalForAll devreye girip varlığını çalabilir.
Doğru Davranış
- Tamamen yok say: Tıklama, transfer etme, satmaya çalışma.
- OpenSea'de gizle: Göz tırmalıyorsa NFT'yi gizleyebilirsin ama sözleşmeyle etkileşime girme.
- NFT adındaki URL'ye girme: O URL'ler %100 oltalama sitesidir.
6. Ünlü Adıyla Dolandırıcılık
Dolandırıcılar ünlülere çok benzeyen sosyal medya hesapları açar veya yorumlarda ünlü gibi davranıp proje tanıtır. Daha gelişmişi, "ünlü"nün ağzından "bu projeye yatırım yaptım" dedirten Deepfake videolardır. Türkiye'de de tanınmış isimlerin sahte kripto reklamlarıyla kullanıldığı, "şu uygulamadan para kazandım" diyen taklit videoların dolaştığı görülmüştür.
Doğrulama
- Hesap rozetine güvenme: Mavi rozet artık satın alınabiliyor; takipçi sayısına ve geçmiş paylaşımlara bak.
- Ünlünün resmi kanalından doğrula: Gerçekten bir projeyi tanıtıyorsa kendi resmi sitesinde/menajerliğinde bilgi olur.
- Deepfake'e dikkat: Donuk mimik, dudak senkron hatası, bulanık arka plan — sahte olabilir.
- Ünlü tanıtımı ≠ güvenilir proje: Gerçek ünlü tanıtsa bile proje sağlam demek değildir; çoğu, para alıp tanıtır.
7. Wash Trading (Sahte Hacim)
Proje sahibi ya da büyük cüzdanlar, birden çok cüzdan açıp kendi kendileriyle işlem yaparak "bu koleksiyon çok popüler" yanılsaması yaratır. 24 saatte 500 ETH işlem görmüş bir NFT'yi gerçek talep sanıp dalarsan, "üzerine yapışan" sen olursun.
Nasıl Tanınır
- Zincir üstü veriye bak: Etherscan ile işlem geçmişini izle; aynı birkaç cüzdan arasında dönüp duruyorsa şüphelen.
- Analiz aracı kullan: NFTGo gibi araçların wash trading tespiti vardır.
- Tekil alıcı sayısına bak: Yüksek hacim ama çok az tekil alıcı = wash trading şüphesi.
8. Topluluk Dolandırıcılığı (Discord/Telegram Sahte Destek)
Discord'da bir soru sorarsın, birkaç dakika sonra DM gelir: "Ben resmi destek görevlisiyim, yardımcı olayım. Kurtarma cümleni gönder / cüzdanını doğrulamak için bu linke tıkla." Tebrikler, bir dolandırıcıyla tanıştın.
Discord, Telegram ya da X fark etmez; seni özelden yazan her "destek", "yönetici", "resmi görevli" dolandırıcıdır. Resmi duyurular yalnızca resmi kanalda yapılır.
- Discord DM'i kapat: Sunucu ayarlarından "sunucu üyelerinden DM'e izin ver"i kapat.
- Kurtarma cümleni hiçbir yere yazma: 12/24 kelimeyi çevrimiçi girmen için hiçbir meşru sebep yoktur.
- "Doğrulama" botlarına dikkat: Gerçek Discord doğrulaması Captcha kullanır, cüzdan bağlatmaz.
Güvenli Davranış Kontrol Listesi
Şu alışkanlıkları içselleştir; dolandırıcılıkların %99'undan kurtulursun:
☐ Kurtarma cümleni/özel anahtarını asla paylaşma — kimseyle, hiçbir durumda
☐ DM'deki linklere tıklama — karşı taraf kim derse desin
☐ Adresi elle yaz ya da yer imi kullan — arama motoru/sosyal medya linkinden girme
☐ İşlemden önce MetaMask penceresini dikkatle oku — neyi imzaladığını gör
☐ Revoke.cash ile yetkileri düzenli kontrol et — ayda en az bir kez
☐ Sıcak ve soğuk cüzdanı ayır — değerli varlığı soğuk cüzdanda tut
☐ Cüzdandaki kaynağı belirsiz NFT'leri yok say — tıklama, etkileşime girme
☐ Proje ekibinin kimliğini doğrula — anonim ekip = kırmızı bayrak
☐ FOMO ile aceleci davranma — dolandırıcılar aciliyet yaratmaya bayılır
☐ Discord'da yabancı DM'ini kapat — gizlilik ayarlarından yap
Tehlike Sinyalleri: Ne Zaman Durmalısın?
Şu sinyallerden biri varsa hemen dur, imzalama, cüzdanını bağlama:
- Sana "garantili kazanç", "kaçırma", "son şans" diyen herhangi bir mesaj veya site.
- Kurtarma cümleni soran herhangi bir kişi/bot/form — istisnasız dolandırıcılıktır.
- Onay ekranında
setApprovalForAllgörüp neden gerektiğini bilmiyorsan. - Fiyat "gerçek olamayacak kadar iyi"yse. Kelepir mavi çip diye bir şey yoktur.
- Resmi olduğunu iddia eden biri seni özelden yazıyorsa.
Sık Sorulan Sorular
Dolandırıldığımda kaybımı geri alabilir miyim?
Büyük olasılıkla hayır. Blockchain işlemleri geri alınamaz ve dolandırıcılar genelde anonim cüzdan kullanır; ihbar etsen bile takip çok zordur. Milyon dolarlık birkaç büyük davada kolluk kuvvetleri devreye girip iade sağlamıştır ama sıradan kullanıcı için bu neredeyse imkânsızdır. Önleme her zaman tedaviden önemlidir.
Bir NFT projesinin dolandırıcılık olup olmadığını nasıl kontrol ederim?
Yüzde yüz yöntem yok ama şunlara bak: 1) Ekip kimliğini açıklamış mı (doxxed); 2) Sözleşme kodu açık kaynak ve bağımsız denetimden geçmiş mi; 3) Topluluk etkileşimi gerçek mi yoksa bot mu; 4) Yol haritası gerçekçi mi (5 kişilik ekip AAA oyun mu vadediyor?); 5) Bilinen yatırımcı/ortak desteği var mı. Bunların hiçbiri şeffaf değilse risk çok yüksektir.
Donanım cüzdanı dolandırılmamı engeller mi?
Donanım cüzdanı (Ledger, Trezor) özel anahtarının çalınmasını engeller — bilgisayarına truva atı bulaşsa bile saldırgan anahtarı çıkaramaz. Ama kötü niyetli bir işlemi kendin imzalamanı engellemez. Oltalama sitesinde donanım cüzdanıyla setApprovalForAll onayladıysan NFT yine gider. En iyi uygulama: donanım cüzdanı + güvenlik bilinci, ikisi bir arada.
Kaynaklar
- etherscan.io — Sözleşme ve işlem geçmişini doğrulama aracı
- nftgo.io — NFT analiz ve wash trading tespiti
- ledger.com — Donanım cüzdanı ve güvenlik rehberleri
- metamask.io — Cüzdan güvenliği ve oltalamadan korunma
Güvenli başlamanın en kolay yolu, işlem hatası riskini azaltan bir ortamdır. Yeni başlıyorsan, zincir üstü cüzdan zorunlu olmayan bir borsa entegre pazar, ilk adımda hata payını düşürür. Kayıt ve güvenlik özelliklerini her zaman Binance'in kendi sayfasından doğrula.
Güvenlik ayarları, 2FA ve bölgesel erişim için Binance sayfasında gösterilen güncel bilgiler esastır.