Fiyatlar yükleniyor…
Zipp Zipp Reklam Ver
Kaydol Giriş yap

En Yaygın 10 Kripto Dolandırıcılığı (ve Bunlardan Nasıl Kaçınılır)

Kripto dolandırıcılıkları yıldan yıla aynı on civarı senaryoyu tekrar tekrar kullanır — rug pull, phishing kitleri, romantik dolandırıcılıklar, sahte destek, sahte airdrop, SIM swap. Sana mal olmadan önce her birini tanımayı öğren.

security Zipp · 8 dk okuma ·
En Yaygın 10 Kripto Dolandırıcılığı (ve Bunlardan Nasıl Kaçınılır)

Bu neden önemli

Perakende kripto kayıplarının çoğu piyasa çöküşlerinden veya akıllı sözleşme exploit'lerinden gelmez. Dolandırıcılıklardan gelir. Desenler eskidir, teknoloji her yıl biraz daha cilalanır ve savunmalar çoğunlukla ücretsizdir — ama yine de yanıt vermeden önce bir saldırının şeklini tanımak gerekir. Aşağıdaki on deseni okumak, kripto'da harcayabileceğin en yüksek getirili saatlerden biridir, çünkü içselleştirdiğin her desen, savunmasız olmayı bıraktığın bir bütün kayıp sınıfıdır.

Hiçbiri finansal tavsiye değildir. Bu, kripto'da paranın gerçekte nasıl alındığının pratik bir haritasıdır ve hangi alışkanlıkların çoğunu durdurduğudur. Materyalin çoğu kriptoyu güvenli depolama'ya da uygulanır — dolandırıcılıkları tanımak ve varlıkları güvenli depolamak aynı duvarın iki yüzüdür.

En yaygın desenler

1. Rug pull'lar

Anonim bir ekip bir token başlatır, haftalarca veya aylarca hype eder, likidite sağlayıcıları toplar, sonra tüm havuz likiditesini çeker ve kaybolur. Tokenler dakikalar içinde 10$'dan 0$'a gider. Varyantlar: "slow rug"lar, geliştirici tutuculara almaya devam etmelerini söylerken haftalarca bir pozisyonu çıkarır; "hard rug"lar, akıllı sözleşmenin geliştiricinin sınırsız token mint edip piyasaya boşaltmasına izin veren bir arka kapısı vardır. Yeni zincirlerde ve memecoin manilerinde yaygındır.

2. Phishing

MetaMask, Phantom, Trezor, Ledger, büyük bir borsa veya popüler bir DeFi protokolünü taklit eden sahte e-posta, sahte popup, sahte oturum açma sayfası. Sayfa seed phrase'ini, özel anahtarını veya kötü amaçlı bir işlemi imzalamanı ister. Site genellikle sponsorlu bir Google reklamı, ele geçirilmiş bir Twitter hesabı, ücretli bir Discord postu veya gerçek alan adının üzerinde sıralanan bir arama motoru sonucu üzerinden gelir.

3. Romantik dolandırıcılıklar ("pig butchering")

Bir yabancı — sıkça bir dating uygulamasında, bazen WhatsApp veya Telegram aracılığıyla — keşfettiği "yüksek getirili" bir kripto yatırım platformuna katılmanı önermeden önce çok haftalı veya çok aylı bir ilişki kurar. Platform gerçek görünür, sahte kârlar gösterir, hatta güven inşa etmek için küçük miktarları çekmene izin verir. Sonra daha büyük miktarlar yatırman teşvik edilir. Daha büyük bakiyeyi çekmeye çalıştığında, önce ödenecek "vergi" veya "ücret" olduğu söylenir. Çekim hiç olmadı. Bu küresel olarak dolar hacmiyle en büyük tek kripto hırsızlık kaynağıdır; FBI'ın IC3'ü yılda milyarlarca dolar çalındığını bildiriyor.

4. Sahte destek

Bir projenin Discord veya Twitter'ında bir sorunun olduğunu söyleyen bir post atarsın. Bir "destek temsilcisi" dakikalar içinde sana yardım sunarak DM atar. Seni bir "validatör" veya "migration" veya "verification" linkine yönlendirirler. Link bir phishing sayfasıdır veya seed phrase'ini paylaşmanı ister. Gerçek destek seni asla önce DM'lemez. Hiçbir zaman. En büyük ipucu yanıtın hızı ve tonun sıcaklığıdır.

5. Pump-and-dump grupları

Ücretli bir Telegram veya Discord grubu, düşük-kap coinler için "alım sinyallerini" koordine ettiğini iddia eder. Katılmak için ödersin. İçeridekiler biriktirir, sonra gruba sinyal verir, grup fiyatı pump ettikçe gruba boşaltırlar. Yapı alıcılar için kelimenin tam anlamıyla çalışamaz çünkü en erken sinyali alan insanlar pump'a torbalarını boşaltan insanlardır. "Pump grupları" organize bir hırsızlık biçimidir.

6. Sahte airdrop'lar ve giveaway'ler

Sahte bir "@elonmusk" veya "@VitalikButerin" hesabından bir tweet, 1 ETH göndererek 2 ETH geri alabileceğini duyurur. Bir site, bağlanan ve "verify" eden cüzdanlara ücretsiz airdrop teklif ettiğini iddia eder. Bir e-posta sana cüzdanının X token talep etmeye uygun olduğunu söyler. Cüzdanı bağlamak onu boşaltan bir işlemi imzalar; "verify" etmek seed phrase'ini açığa çıkarır; "giveaway" adresine ETH göndermek sadece bir hırsıza ETH gönderir.

7. SIM swap'ler

Bir saldırgan, mobil operatörünü telefon numaranı kontrol ettikleri bir SIM'e taşımaya ikna eder, sıkça bir müşteri hizmetleri temsilcisinin sosyal mühendisliği aracılığıyla. Sonra SMS tabanlı 2FA'yı kullanarak e-postanı, sonra borsa hesaplarını ele geçirirler. Savunma: operatörüne SIM-swap koruması veya bir port-out PIN'i etkinleştir ve önemli olan herhangi bir şey için SMS yerine uygulama tabanlı 2FA (Authy, Aegis, donanım anahtarı) kullan.

8. Kötü amaçlı approval'lar (wallet drainer'lar)

Meşru görünen bir siteyi (sahte bir "claim" sayfası, sahte bir DEX, sahte bir NFT mint) ziyaret edersin. Site bir işlemi imzalamanı ister. İşlem bir ödeme değil — saldırganın tokenlerini istediği zaman cüzdanından çıkarmasına izin veren sınırsız bir token approval'ıdır. Cüzdan popup'ını görürsün, imzala'ya tıklarsın ve fonların önümüzdeki dakikalar veya haftalar içinde boşalır. Bu kategori o kadar yaygındır ki kendi sayfasını hak eder: wallet drainer nedir.

9. Sahte cüzdanlar ve sahte uygulamalar

Uygulama mağazaları zaman zaman Trust Wallet, MetaMask, Exodus, Phantom ve diğerlerinin sahte sürümlerine ev sahipliği yapar. Sahte uygulama ilk kullanımda seed phrase'ini kaydeder ve saldırgana iletir. Varyantlar arasında sahte Chrome uzantıları ve sahte masaüstü yükleyicileri vardır. Cüzdan yazılımını her zaman cüzdanın resmi web sitesinden (doğrulanmış sosyal hesaplarından bağlanan) indir; asla bir arama sonucundan, reklamdan veya sohbet linkinden değil.

10. AI deepfake'leri ve taklit

En yeni kategori. "Sınırlı süre" giveaway, acil bir "migration" veya bir yatırım fırsatı tanıtan Elon Musk, Michael Saylor, Vitalik Buterin veya kendi borsanın CEO'sunun AI-üretilmiş video ve sesi. Bazen deepfake, ele geçirilmiş bir YouTube hesabına sabitlenmiş bir canlı yayında olur. Görsel ve ses kalitesi artık 30 saniyelik bir klipten anlayamayacağın kadar iyi. Savunma: "ETH gönder, ETH geri al" veya acil bir eylem tanıtan herhangi bir video, kim söylüyor gibi görünürse görünsün bir dolandırıcılıktır.

Kırmızı bayraklar / kontrol listesi

Yukarıdaki desenlerin tümü küçük bir kırmızı bayrak seti paylaşır. Aynı durumda bunlardan ikisini veya daha fazlasını görürsen, varsayılan olarak bir dolandırıcılık olarak değerlendir:

  • Aciliyet. "Sadece 24 saat kaldı", "sınırlı yer", "ekip şu anda göç ediyor". Gerçek kripto operasyonları nadiren dakikalar içinde harekete geçmene bağlıdır.
  • İstenmeyen temas. Sen başlatmadığın bir DM, e-posta veya çağrı. Özellikle bir sorun hakkında post attığın anda yardım teklif ederse.
  • Seed phrase veya özel anahtar ister. Hiçbir meşru taraf — cüzdan, borsa, saklayıcı, destek, donanım üreticisi — asla sormaz. Paylaşmak her zaman fonlarının sonudur.
  • Garantili getiri. Sabit, yüksek, garantili getiri vaat eden her şey ya bir dolandırıcılıktır ya da olmak üzeredir. Kripto'daki gerçek getiriler dalgalanır ve görünür risk taşır.
  • Yazılım indirme baskısı. Özellikle bir sohbet ortağından, bir ekran paylaşımı oturumundan veya bir "destek" linkinden.
  • Adres benzer görünür ama yanlıştır. Göndermeden önce bir hedef adresin ilk ve son 4 karakterini her zaman doğrula; pano kaçırıcıları adresleri değiştirir.
  • Platform dışı yükseltme. Bir dating uygulamasında veya sohbette başlayan bir konuşma, seni hiç duymadığın özel bir yatırım platformuna veya uygulamaya taşımaya çalışır.
  • Şüpheli yüksek gaz-ücretsiz getiri. Bilinen protokollerin ödediğinin 10 katı sunan yeni bir "DeFi protokolü" veya "airdrop talebi" neredeyse her zaman bir boşaltma tuzağıdır.

Etkilendiyseniz ne yapmalı

Bir cüzdan tehlikeye girdiyse, her saniye önemlidir. Standart oyun planı:

  1. Yapabildiğini taşı. Kalan tokenleri hemen yeni bir cüzdana (yeni seed phrase) gönder. Saldırgan genellikle script çalıştırır; ne kadar hızlı taşırsan o kadar çok kurtarırsın.
  2. Approval'ları iptal et. Tehlikeye giren cüzdanda revoke.cash gibi bir hizmeti (veya cüzdanının yerleşik approval yöneticisini) kullanarak her aktif token approval'ını iptal et. Bu özellikle wallet drainer kategorisini durdurur.
  3. Tehlikeye giren cüzdanı sonsuza kadar yanmış olarak değerlendir. Bir seed phrase açığa çıktıysa, anahtar rotasyonu yardımcı olmaz — saldırgan şimdi ve sonsuza kadar cüzdana sahiptir. Fonları ona geri taşıma.
  4. Belgele. Kötü amaçlı siteyi, sohbet geçmişini, ilgili işlemleri ekran görüntüsü al. Herhangi bir rapor veya sigorta talebi için buna ihtiyacın olacak.
  5. Yerel yetkililere ve platforma bildir. Yerel polise, IC3'e (ABD), Action Fraud'a (UK) veya eşdeğerine rapor ver. Dolandırıcı adreslerini zincir analitik firmalarına (Chainalysis, TRM Labs) bildir; sonunda kara listeye alınabilir ve nakit çıkışını sınırlayabilir. Kurtarma nadirdir ama raporlama olabilmesinin tek yoludur.
  6. "Kurtarma dolandırıcılıklarına" dikkat. Dolandırıldıktan sonraki günler içinde, çalınan kripton'u bir ücret karşılığında kurtarabileceğini iddia eden hesaplardan sıkça DM alırsın. Bu kendi başına bir dolandırıcılıktır. Geri alınamaz blockchain transferleri için temelde meşru ücretli bir kurtarma hizmeti yoktur.

Nasıl korunulur

  • Anlamlı bakiyeler için bir hardware cüzdan kullan. Yukarıdakilerin çoğu ya bir seed phrase ya da kötü amaçlı bir işlem imzası gerektirir; bir hardware cüzdan her ikisini de korur, özellikle her approval'ı cihaz ekranında okursan.
  • "Sıcak" ve "soğuk" cüzdan bölünmesi olsun. Etkileşim cüzdanında (siteleri ziyaret eden ve DeFi işlemlerini imzalayan) küçük miktarlar tut. Asla rastgele sitelere bağlanmayan bir hardware cüzdanında anlamlı bakiyeler tut.
  • Resmi URL'leri yer imlerine ekle. Bir cüzdana, borsaya veya DeFi protokolüne asla arama veya sosyal link aracılığıyla ulaşma. Gerçek alan adlarını yer imlerine ekle ve yer imini kullan.
  • SMS değil, uygulama tabanlı 2FA kullan. SMS, SIM swap yüzeyidir. Authy, Aegis, Google Authenticator veya bir donanım anahtarı (YubiKey, Ledger) dramatik olarak daha güvenlidir.
  • Benzersiz güçlü bir şifre ve bir şifre yöneticisi kullan. Borsalar arasında aynı şifreyi yeniden kullanmak, sızdırılmış bir veritabanından düzinelerce hesabın nasıl boşaltıldığıdır.
  • Her cüzdan popup'ını oku. Bir işlem amaçladığından fazlasını harcamayı istiyorsa veya bir tokenın sınırsız approval'ını istiyorsa, reddet.
  • Yavaşla. En etkili tek savunma, herhangi bir acil kripto durumunu bağımsız bir kanal aracılığıyla doğrulayana kadar varsayılan bir dolandırıcılık olarak değerlendirmektir. "Üstüne uyumak" herhangi bir üründen daha fazla saldırıyı yener.

Güvenli anahtar saklamanın daha geniş ele alınması için kriptoyu güvenli depolama'ya bak; 2024-2026'da en hızlı büyüyen belirli approval-phishing kategorisi için wallet drainer nedir'e bak. Hiçbiri finansal tavsiye değildir. Bu, "imzala"ya tıklamadan önce bilmen gereken çalışan dolandırıcılık oyun planıdır.

Uyarıları izle, haberleri izle

Çoğu büyük dolandırıcılık kampanyası — wallet drainer dalgaları, sahte giveaway deepfake'leri, sahte borsa taklitleri — kitle izleyiciye ulaşmadan saatler önce güvenlik manşetlerinde yüzeye çıkar. Zippfeed güvenlik ve büyük token manşetlerini sentiment ve önem skoruyla takip eder; böylece aktif kampanyaları erkenden görebilir ve o hafta hangi sitelerden veya uygulamalardan kaçınılacağını bilirsin — anlamlı bakiyeler çalıştırsan, yeni DeFi protokollerini keşfetsen veya sadece yeni saldırı desenlerinin neye benzediğini takip etmeye çalışsan yararlıdır.

Sıkça sorulan sorular

En yaygın kripto dolandırıcılığı nedir?
Dolar hacmiyle, romantik / pig-butchering dolandırıcılıkları (kurbanları sahte yatırım platformlarına taşıyan uzun ilişki düzenbazlıkları) küresel olarak en büyük tek kategoridir — FBI tahminlerine göre yılda milyarlarca dolar. Olay hacmiyle, phishing ve kötü amaçlı approval işlemleri (wallet drainer'lar) daha sıktır. Neredeyse her dolandırıcılık yaklaşık on yeniden kullanılabilir desenden birine uyar.
Bir kripto dolandırıcılığını nasıl tanırım?
Çoğu dolandırıcılık küçük bir kırmızı bayrak seti paylaşır: aciliyet, istenmeyen temas, seed phrase veya özel anahtar isteme, garantili yüksek getiri, yazılım indirme baskısı, sınırsız approval isteyen şüpheli cüzdan popup'ları. Bunlardan herhangi ikisini birlikte varsayılan olarak bir dolandırıcılık olarak değerlendirmek çoğu kaybı önler. En büyük savunma yavaşlamaktır.
Çalınan kripto geri alınabilir mi?
Kurtarma nadirdir. Blockchain işlemleri geri alınamaz, dolandırıcılar fonları mikserler ve köprüler aracılığıyla hızlı hareket ettirir ve kolluk kuvvetlerinin yargı bölgeleri arasında sınırlı araçları vardır. Yetkililere, borsalara ve zincir analitik firmalarına bildirmek değerlidir — ara sıra adresler borsalarda dondurulur ve kısmi kurtarma mümkündür. Bir dolandırıcılıktan sonra reklam yapılan "kurtarma hizmetleri" neredeyse her zaman kendi başlarına dolandırıcılıklardır.
Kriptomu dolandırıcılıklardan nasıl koruyabilirim?
Anlamlı bakiyeler için bir hardware cüzdan kullan, fonları günlük kullanım için küçük bir "sıcak" cüzdan ve depolama için bir soğuk cüzdan arasında böl, resmi URL'leri yer imlerine ekle (asla arama), uygulama tabanlı veya donanım 2FA kullan (asla SMS), şifre yöneticisiyle benzersiz şifreler kullan, her cüzdan approval'ını oku ve acil olan her şeyi bağımsız olarak doğrulanana kadar bir dolandırıcılık olarak değerlendir. Hiçbiri finansal tavsiye değildir.

İlgili kılavuzlar