Fiyatlar yükleniyor…

Satın Almadan Önce Token'ın Kontrat Adresi Nasıl Doğrulanır

Cüzdan boşaltan dolandırıcılıkların çoğu yanlış kontrat adresiyle başlar. Taklit tokenları, honeypot'ları ve sahte dağıtıcıları beş dakikada yakalayan sakin ve tekrarlanabilir kontrol listesi burada.

Satın Almadan Önce Token'ın Kontrat Adresi Nasıl Doğrulanır

DeFi'de sözleşme adresini doğrulamanın en önemli alışkanlık olmasının nedeni

Merkezi olmayan bir borsada token alım satımı yapmadan önce yalnızca bir savunma alışkanlığı öğrenecekseniz, şu olsun: sözleşme adresini projenin kendisinden başka hiç kimsenin verdiğine asla güvenmeyin ve bir tane yayınlamayan bir projeye de asla güvenmeyin. Bu kılavuzdaki diğer tüm kontroller bu kuralın bir geliştirilmiş halidir.

Bu konunun bu kadar önemli olmasının nedeni, bir DEX üzerindeki token swap'larının geri alınamaz olmasıdır. Bir işlem zincir üzerinde onaylandığında, ağ onu tersine çevirmez, borsa geri ödeme yapmaz ve projenin destek kanalı size yardımcı olmaz. Protokol düzeyinde müşteri hizmetleri masası yoktur. Neyi imzalarsanız onu alırsınız ve neyi gönderirseniz başka biri onu alır. İzin gerektirmeyen bir blok zincirinin tasarımının tamamı budur ve aynı zamanda dolandırıcıların onu bu kadar sevmesinin tam nedenidir.

2023 ve 2024'te bildirilen hemen hemen her büyük cüzdan boşaltma olayı tek bir yanlış tıklamayla başladı. Bir trader Google'da popüler bir meme token aradı, ücretli bir reklamı tıkladı, gerçek proje sitesinin neredeyse mükemmel bir klonuna ulaştı, dolandırıcının sessizce dağıttığı bir sözleşme adresini kopyaladı ve cüzdanına yapıştırdı. Swap gerçekleşti. Token'lar göründü. Ardından sözleşmenin gizli fonksiyonu kullanıcının satış yapmasını engelledi ya da likidite çekildi ya da bir transfer ücreti girdinin yüzde doksanını dağıtıcının cüzdanına yönlendirdi. Trader'ın fonları tek bir blokta kayboldu.

İyi haber şu ki, bu tuzakların neredeyse tamamı iz bırakır. Siz onu aramadan dakikalar önce dağıtılmış bir sözleşme, geçmişi olmayan bir dağıtıcı cüzdanı, neredeyse doğru yazılmış ancak Unicode benzeri bir karakter içeren bir token adı, yüzlerce dolar ile ölçülen bir likidite havuzu ve hak sahiplerinin satış yapmasını açıkça reddeden bir durum, siz herhangi bir şey imzalamadan önce zincir üzerinde görülebilir. Aşağıdaki beş dakikalık doğrulama akışı bunların tümünü ortaya çıkarır.

Yanlış adrese güvenmenin gerçek riskleri

En yaygın tuzak, bazen homoglif veya taklitçi token olarak adlandırılan kopya tokendir. Dolandırıcılar, popüler bir projenin adını, ticker'ını ve logosunu kopyalayan yeni bir sözleşme dağıtır, ardından bunu ücretli arama reklamları, X'te yanıtçılar ve botlarla kiralanmış Telegram kanalları aracılığıyla tanıtır. Fiyat grafiği birkaç saat sağlıklı bile görünebilir, çünkü dolandırıcı talep yanılsaması yaratmak için kendi token'ını yeni cüzdanlarla satın alır. Gerçek alıcılar gelip likidite yeterince derinleştiğinde, dağıtıcı havuzu boşaltır. Bu kalıp bazen rug pull olarak adlandırılır ve Uniswap, Raydium ve PancakeSwap üzerindeki yeni token kayıplarının çoğunluğunu oluşturur.

İkinci tuzak honeypot'tur. Honeypot, sözleşmesinin satın almanıza izin verdiği ancak satış fonksiyonunu sessizce engellediği, vergilendirdiği veya kara deliğe gönderdiği bir tokendir. Cüzdanınızda fiyatın yükseldiğini izlersiniz, çıkmaya çalışırsınız ve işlem geri alınır ya da yalnızca koyduğunuzun küçük bir kısmını geri gönderir. Daha kötüsü, modern honeypot sözleşmeleri küçük bir test satışının başarılı olmasına izin verebilir, böylece kullanıcı daha fazla sermaye eklemeye ikna edilir ve yalnızca sonraki büyük satış başarısız olur. Statik analiz araçları en yaygın varyantları tespit edebilir, ancak küçük bir test swap'ı hâlâ tamamen güvenilir olan tek kontroldür.

Üçüncü tuzak, sözleşmenin teknik anlamda kötü niyetli olmadığı, ancak ekibin onu basitçe terk ettiği yumuşak rug'dur. Likidite meşru yönetici fonksiyonları aracılığıyla yavaşça boşaltılır, projenin sosyal kanalları kararır ve hak sahipleri yalnızca kaybolan bir havuza karşı işlem gören bir token ile baş başa kalır. Burada istismar edilebilecek bir hata yoktur, bu nedenle insan sinyalleri (dağıtıcı itibarı, ekip şeffaflığı, kilitli likidite) kod düzeyindeki kontroller kadar önemlidir.

Son olarak, dolandırıcının size daha önce kullandığınız bir adrese benzeyen bir adresten küçük bir transfer gönderdiği ve işlem geçmişinizden yanlış olanı kopyalamanızı umduğu adres zehirlenmesi varyantı vardır. Bu, doğrudan satın almak üzere olduğunuz token'ı içermez, ancak pano alanının kendisinin bir saldırı yüzeyi olduğunu hatırlatır. Bir sözleşme adresi yapıştırmak üzere olduğunuz her an, yavaşlayın ve tam dizesini karakter karakter okuyun.

Beş dakikalık doğrulama akışı, adım adım

Aynı beş adım, neredeyse her token için her EVM zincirinde ve Solana'da çalışır; sadece araç adları değişir. Bunu, adres size nasıl ulaşırsa ulaşsın her yeni tokende, her seferinde çalıştırdığınız bir kontrol listesi olarak değerlendirin.

Adım 1: Adresi projenin gerçek web sitesinden alın

Yeni bir tarayıcı sekmesi açın ve projenin adını doğrudan adres çubuğuna yazın ya da daha önce kaydettiğiniz bir yer imi veya projenin doğrulanmış Discord sunucusundaki sabitlenmiş bir mesaj gibi güvendiğiniz bir bağlantıyı kullanın. Google reklamına tıklamayın. Alan adının gerçek olduğunu bağımsız olarak doğrulamadığınız sürece arama sonucundan gelen bir bağlantıya da tıklamayın. Dolandırıcılar düzenli olarak popüler token adları için üst sıradaki sponsorlu alanı satın alır ve açılış sayfası, gerçek sitenin piksellerce birebir kopyasıdır; tek fark farklı bir kontrat adresidir.

Gerçek siteye ulaştığınızda, açık bir kontrat adresi bölümü arayın. Saygın projeler kontratlarını özel bir sayfada yayınlar; genellikle bir kopyala düğmesi ve bunun her zaman paylaşacakları tek adres olduğuna dair bir uyarı bulunur. Aynı adresi iki farklı yerde çapraz kontrol edin; örneğin projenin belgeler sayfası ile resmi X hesabı, adrese güvenmeden önce. İki kaynak uyuşmuyorsa, ikisini de şüpheli sayın ve projenin doğrulanmış topluluk kanalında sorun.

Adım 2: Adresi bir blok gezginine yapıştırın

Bir EVM tokeni için adresi Etherscan, BscScan, PolygonScan ya da projenin yaşadığını iddia ettiği zincirin gezginine yapıştırın. Solana tokeni için Solscan kullanın. İlk olarak bakılacak temel bilgiler: kontrat var mı, ne zaman dağıtılmış, dağıtıcı cüzdanı nedir ve kontratın raporladığı token adı ile sembolü nedir?

Dağıtım tarihi güçlü bir filtredir. Proje aylardır ortalıktaysa, binlerce üyesi olan bir Discord'u varsa ve kontrat dün dağıtıldıysa, bir şeyler yanlış demektir. Aynı şekilde, gezginde gösterilen token adı ile sembolünü projenin tanıttıklarıyla karşılaştırın. Dolandırıcılar sıklıkla, hızlı bir bakışta gözden kaçması için Latin a yerine Kiril а gibi Unicode taklit karakterler kullanır. Gezginin ham metin görünümü gerçek karakterleri gösterir.

Adım 3: Dağıtıcı cüzdanı inceleyin

Gezginde dağıtıcı adresine tıklayın. Cüzdan onlarca token dağıtmışsa ve bunlardan birkaçı topluluk sitelerinde zaten dolandırıcılık olarak işaretlenmişse, önünüzdeki proje muhtemelen serinin sıradaki halkasıdır. Ciddi bir projeye sahip meşru bir ekip ya yeni bir cüzdandan dağıtım yapar ve o cüzdanı resmi dağıtıcı olarak yayınlar ya da kamuya açık ekip üyelerine bağlı uzun geçmişi olan bir cüzdandan dağıtım yapar. Düşük likiditeli çok sayıda launch yapan anonim bir dağıtıcı, seri rugger'ın imzasıdır.

Adım 4: Adresi honeypot ve risk tarayıcılarından geçirin

Kontrat adresini kopyalayıp TokenSniffer, GoPlus, De.Fi Shield ve DexScreener'ın trade-simulation paneline yapıştırın. Her araç kontrata biraz farklı bir açıdan bakar. TokenSniffer kaynak kod kalıplarına ve geçmiş dolandırıcılık benzerliğine odaklanır. GoPlus, transfer vergileri, kara liste fonksiyonları ve sahiplik feragati üzerinde canlı bir analiz yapar. DexScreener'ın simülasyon sekmesi, mevcut likiditeye karşı simüle edilmiş bir alım ve satış denemesi yapar; böylece satışın geri dönüp dönmeyeceğini veya girdinizin çoğunu fee olarak yiyip yemeyeceğini önceden görebilirsiniz.

Sonuçları bir kontrol listesi gibi okuyun. Tek bir uyarı mutlaka ölümcül değildir: birçok meşru proje küçük bir transfer vergisi alır ve bazıları likidite havuzunu yönetmek için sahipliği feragat etmez. Aradığınız şey bir örüntüdür. Yüzde yirminin üzerinde bir vergi, en büyük holder'ları hedef alan bir kara liste fonksiyonu, tüm transferleri duraklatabilen sahibe özel bir fonksiyon ve transfer mantığının içinde ilgisiz bir cüzdana token gönderen harici bir çağrı, uzaklaşmanızı söyleyen kombinasyondur.

Adım 5: Pozisyon büyütmeden önce küçük bir miktar ile test swap yapın

Yukarıdakilerin tümünden sonra bile, ilk işleminizi küçük tutun. Beş dolar, kontratın size geri satış yapıp yapmadığını, fiyat etkisinin makul olup olmadığını ve tokenların gerçekten cüzdanınıza gelip gelmediğini öğrenmek için yeterlidir. Test satışı çalışırsa ve rakamlar gezginin ve tarayıcının öngördüğüyle eşleşirse, ikinci bir işlemde daha büyük bir pozisyona geçebilirsiniz. Bir şeyler tuhaf hissediliyorsa, beş dolar kaybetmiş ve bir ders almış olursunuz; beş bin dolar kaybetmiş ve hiçbir şey öğrenmemiş olmazsınız.

Bir blok gezginindeki "doğrulanmış" aslında ne anlama gelir

En yaygın başlangıç hatalarından biri, Etherscan üzerindeki yeşil onay işaretini bir güvenlik onayı olarak değerlendirmektir. Değildir. Etherscan'daki doğrulanmış kod rozeti, yalnızca kontratın kaynak kodunun yüklendiğini ve dağıtılan bytecode ile eşleştiğini gösterir. Kodun iyi yazıldığı, denetlendiği veya dürüst olduğu anlamına gelmez.

Pek çok doğrulanmış kontrat, açık ve okunabilir honeypot mantığı içerir. Sahibi, küresel satış vergisını yüzde yüze ayarlayan bir fonksiyonu çağırabilir ve bu fonksiyon doğrulanmış kaynak kodunda olduğu sürece rozet yeşil kalır. Doğrulama bir şeffaflık aracıdır, güvenlik sertifikası değil. Bunu due diligence'ın tabanı olarak değerlendirin, tavanı olarak değil.

Daha yüksek riskli projeler için bir kat daha derine inin. Saygın bir firmadan (Certik, Trail of Bits, OpenZeppelin, Spearbit) gerçek bir denetim daha güçlü bir sinyaldir, ancak denetimler bile garanti değildir. Denetimler belirli bir ana ait incelemelerdir ve ekip denetimden sonra denetlenmemiş yeni bir kontrat dağıtabilir. En güvenilir projeler denetim raporunu, incelenen commit hash'ini ve hâlâ bütçesi duran bir bug bounty programını yayınlar.

Aynı kontroller Solana'da nasıl çalışır

Solana tokenleri farklı bir program modelinde yaşar, ancak doğrulama akışı yapısal olarak aynıdır. Mint adresini Solscan'e yapıştırın, dağıtım tarihini ve upgrade authority'yi kontrol edin, ardından mint'i RugCheck'ten geçirin; bu, token extension'larını, freeze authority'yi, mint authority'yi ve holder konsantrasyonunu analiz eden topluluk tarafından geliştirilmiş bir honeypot tarayıcısıdır. Solana'da en çok önem taşıyan iki bayrak freeze authority ve mint authority'dir. İkisi hâlâ etkinse ve tek bir cüzdan tarafından tutuluyorsa, o cüzdan bakiyenizi dondurabilir ya da yeni arz basarak sizi seyreltik hale getirebilir. Ciddi bir proje her iki yetkiyi de feragat eder ya da kamusal imza sahipleri listesine sahip bir multisig'e devreder.

Likidite için Birdeye ve DexScreener her ikisi de havuz derinliğini ve en büyük on holder'da oturan arz yüzdesini yüzeye çıkarır. Arzın yüzde doksanı tek bir cüzdanda, kalan yüzde on holder'lar arasında bölünmüş bir token, yapısal olarak bir rug'a bir işlem uzaklıktadır. Solscan'deki holder dağılım grafiğini okumak için harcanan on saniyeye değer.

İşlenmiş bir örnek: sahte bir $WIF'i yakalamak

Sosyal medya akışınızda $WIF trend olduğunu ve biraz satın almak istediğinizi hayal edin. Gerçek dogwifhat tokeni 2023'ün sonlarında Solana'da piyasaya sürüldü ve mint adresi projenin resmi kanallarında yayınlandı. Ancak bir dolandırıcı, freeze authority, yüzde yüz satış vergisi ve zaten üç başka token dağıtmış, hepsinin kırk sekiz saat içinde rug yemiş bir dağıtıcı cüzdanıyla $WIF adında yeni bir mint dağıttı.

Adres yanlış yerden geldiyse, birinci adım bu değişimi yakalardı. Google'da arama yapıp ilk sponsorlu bağlantıya tıklamak sizi dolandırıcının mint'ini listeleyen bir klon siteye götürürdü. Gerçek dogwifhat sitesine ya da projenin sabitlenmiş X gönderisine gitmek size gerçek mint'i verirdi ve ikisi eşleşmezdi.

Adres olmadan doğrudan DexScreener'a gidip $WIF aramış olsaydınız, listeleme birden fazla parite gösterirdi ve yeni mint açıkça yeni, çok küçük bir havuzla görünürdü. Onu seçmek, Solscan'de bir dizi özdeş launch gösteren dağıtıcı cüzdanı ortaya çıkarırdı. Mint'i RugCheck'ten geçirmek freeze authority'yi ve şüpheli en büyük holder konsantrasyonunu işaretlerdi. Birkaç dolarlık test swap'ı ya satış tarafında geri dönerdi ya da girdinizin çoğunu sessizce tanımadığınız bir cüzdana gönderirdi.

Bu kontrollerden herhangi biri işlemi kurtarırdı. Üst üste konulduklarında başarısız olmaları çok zordur. Örüntü mesele budur: tek bir sinyal gürültü olabilir, ancak geçmişi olan bir dağıtıcı, freeze authority, bir günlük mint ve yumuşak geri dönen satış dört bağımsız gözlem değildir. Aynı hikayenin dört farklı şekilde anlatılmasıdır.

Bunu tekrarlanabilir bir alışkanlığa dönüştürmek

Doğrulama tek seferlik bir beceri değildir. Her çeyrekte yeni zincirler, yeni dolandırıcılık kalıpları ve yeni dedektör araçları ortaya çıkıkar ve doğrulama akışının bunlarla birlikte gelişmesi gerekir. Pratik bir alışkanlık, telefonunuzda güvendiğiniz gezgin ve tarayıcıların URL'lerini zincir yola çoktan eklenmiş şekilde yer imi olarak kaydettiğiniz tek bir not tutmaktır; böylece arama yapmadan iki dokunuşla açabilirsiniz. Temiz ve yer imine alınmış bir akışın sağladığı düşük sürtünme, acil hissettiren bir işlemde kısayollara başvurmanızı engelleyen şeydir.

Ayrıca her yeni token için giriş bedeli olarak beş dakika gibi sabit bir süre ayırmak da faydalıdır. En iyi fırsatlar beş dakika sonra hâlâ orada olacaktır. Kötü olanlar ise tanım gereği sizi kontrolü atlamaya zorlayanlardır. Bir Telegram arayıcısı kontratın büyük bir borsada listeleneceğini ve önümüzdeki altmış saniye içinde alım yapmanız gerektiğini söylüyorsa, bu herhangi bir grafikten daha güçlü bir satış sinyalidir.

Yeni token çıkışlarını akıllıca takip etmenin yolu

Ethereum, Solana, BNB Chain, Base ve giderek büyüyen bir L2 listesinde her dakika yeni tokenlar çıkıyor ve bunların etrafındaki manşetler çıkışların kendisinden bile daha yüksek sesle yankılanıyor. İlginç soru hangi tokenın trend olduğu değil, o trendin arkasındaki hangi kontrat adresinin gerçek olduğu ve hangisinin taklit olduğudur. Zippfeed, token çıkış haberlerini duygu puanlaması (bullish, neutral veya bearish) ve önem derecesi ile birlikte sunar; böylece cüzdanınızı açmadan önce hikâyeyi, zincir üstü ayak izini ve kalabalığın ruh halini tek bir görünümde görebilirsiniz.

Sıkça sorulan sorular

Bir token'ı güvenli saymak için Etherscan'deki yeşil tik yeterli mi?
Hayır. Etherscan'deki doğrulanmış kaynak rozeti yalnızca kontratın kaynak kodunun yüklenmiş olduğu ve dağıtılan bytecode ile eşleştiği anlamına gelir. Kodun dürüst, denetlenmiş veya gizli işlevlerden arınmış olduğu anlamına gelmez. Doğrulanmış bir kontrat yine de yüzde yüzlük satış vergisi, en büyük yatırımcıları hedefleyen bir kara liste veya yalnızca sahibin kullanabileceği bir duraklatma işlevi içerebilir. Bu rozeti bir şeffaflık tabanı olarak değerlendirin ve honeypot tarayıcıları, dağıtıcı cüzdanın incelenmesi ve pozisyonu büyütmeden önce küçük bir test swap'ı ile birlikte kullanın.
Satın almadan önce bir honeypot token'ı normal olandan nasıl ayırt ederim?
Kontrat adresini TokenSniffer veya GoPlus'a yapıştırın ve DexScreener'daki trade-simulation panelini inceleyin. Honeypot'lar genellikle çok yüksek transfer vergileri, adresleri kara listeye alabilen veya alım satımı durdurabilen yalnızca sahibe özel işlevler ve simüle edilen satışların geri dönmesi veya simüle edilen alımdan çok daha az getirmesi gibi belirtiler gösterir. Bu sinyallerin hiçbiri tek başına kesin değildir, ancak bunları bir arada barındıran bir kontrat neredeyse her zaman tuzaktır. Dolandırıcılar statik analiz araçlarını alt eden kontratlar yazabildiğinden, küçük bir test swap'ı hâlâ tek tam güvenilir kontroldür.
Google reklamında veya Telegram grubunda bulduğum bir token'ı satın almalı mıyım?
İkisini de varsayılan olarak şüpheli kabul edin. Dolandırıcılar popüler token adları için en üst sponsorlu alanı satın alır ve benzer görünümlü kontrat adresleri yapıştıran botlarla kiralanmış Telegram kanalları yürütür. Daha güvenli işlem akışı şöyledir: reklamdaki veya grup mesajındaki adresi görmezden gelin, yeni bir sekme açın, projenin gerçek alan adını doğrudan yazın ve kontratı projenin kendi sayfasından kopyalayın. Reklamdaki adres gerçek sitedekiyle eşleşmiyorsa, reklam dolandırıcılıktır. Bu yazı eğitim amaçlıdır ve yatırım tavsiyesi değildir.
Bir Solana token'ının mint adresini kontrol etmenin en hızlı yolu nedir?
Mint'i Solscan'a yapıştırın, ardından üç şeyi kontrol edin: dağıtım tarihini, freeze ve mint yetkilerini ve yatırımcı yoğunluğunu. Ciddi bir proje her iki yetkiyi de bırakır veya bunları kamusal bir multisig'e devreder ve ilk on yatırımcı arzın büyük kısmına sahip olmaz. Aynı mint'i RugCheck'ten de geçirin; araç bu analizin büyük bölümünü otomatikleştirir ve son olarak küçük bir test swap'ı yapın. Freeze yetkisi hâlâ etkinse, mint yetkisi hâlâ açıksa veya ilk on yatırımcı arzın yarısından fazlasına sahipse, token'ı yüksek riskli olarak değerlendirin.