Fiyatlar yükleniyor…

Bir Token'ı Satın Almadan Önce Sözleşmeyi Nasıl Doğrularsınız

Honeypot'lar, kopyala-yapıştır dolandırıcılıkları ve gizli mint'ler hâlâ cüzdanları boşaltıyor. İşte çoğu yatırımcının atladığı tam kontrol listesi ve nerede gerçekten başarısız olduğu.

Bir Token'ı Satın Almadan Önce Sözleşmeyi Nasıl Doğrularsınız

Token doğrulamanın grafik okumaktan neden daha önemli olduğu

Yeni bir tokende para kaybeden çoğu insan grafiği yanlış okumadı. Yanlış tokeni aldı. Arama motorları, Telegram grupları ve yanıt botları benzer tickerlarla dolu; yapıştırılan bir adresteki tek bir yanlış karakter, fonları alıcının asla satamayacağı bir sözleşmeye gönderir. Bu örüntü o kadar yaygın ki, zincir analizi firmaları artık onu 2024 ve 2025'te perakende yatırımcı kayıplarının en büyük tek kategorisi olarak etiketliyor; likidasyonların ve başarısız limit emirlerinin de önünde.

İyi haber şu ki, doğrulama bir güvenlik geçmişi gerektirmiyor. Sabır ve bir kontrol başarısız olduğunda işlemi atlayabilme isteği gerektiriyor. Kötü haber ise her adımın gerçek bir başarısızlık modu var ve herhangi birini atlamak, bir saldırganın geçmekten mutluluk duyacağı bir boşluk bırakıyor. Aşağıdaki liste, deneyimli DEX tüccarlarının gerçekten uyguladığı asgari adımları, uyguladıkları sırayla veriyor.

Başlamadan önce yanlış gidebilecekler: risk tablosu

Bir doğrulama kontrol listesinin yakalamak için tasarlandığı dört dolandırıcılık biçimi ve hiçbir kontrol listesinin yakalayamadığı beşinci bir tane var. Farkı bilmek, sıradan bir alıcıyı fonlarını koruyan birinden ayıran şeydir.

Kopyala-yapıştır dolandırıcılığı. Meşru bir projeyle aynı ada ve tickera sahip bir token, hype'lanan bir lansmandan saatler önce dağıtılır. Adres yanıtlara, Telegram'a ve ücretli arama reklamlarına konur. Alım işlemi çalışır, fiyat on dakika hareket eder, ardından satışlar geri döner. Sözleşme bir honeypottur, likidite tek bir adresin elindedir ve dağıtıcının çok sayıda benzer rug geçmişi vardır.

Gizli mint (basım) özellikli sözleşme. Bir token adil bir arz ile piyasaya çıkar, birkaç hafta işler görür ve ekip hacim ani yükseldiği anda büyük yeni bir parti basar. Yeni tokenler havuza düşer, fiyat sıfıra çöker ve orijinal sahipleri ekibin istediği zaman arzı basabileceğini fark eder. Sözleşmede başından beri bir mint fonksiyonu vardı; kimse kaynak kodu okumadı.

Kilitli ekip cüzdanı satışı. Bir token, ekip tokenleri bir vesting (kilitli serbest bırakma) sözleşmesinde kilitli şekilde piyasaya çıkar. Kilit sağlayıcısı ele geçirilir ya da serbest bırakma ekibin kontrol ettiği bir multisig'dir ya da serbest bırakma tarihi yanlış okunmuştur. Ekip ilk gerçek rallide satış yapar ve grafik bir daha toparlanmaz.

Ele geçirilmiş dağıtıcı. Meşru bir proje yayınlanır, ilgi görür ve bir ekip üyesinin sıcak cüzdanı oltalama saldırısına uğrar. Saldırgan, dağıtıcı yetkilerini kullanarak hassas fonksiyonları çağırır; genellikle alım satımı duraklatır, ücretleri değiştirir veya likiditeyi çeker. Sözleşme tam olarak ekibin yazdığı şeydir; bir sıcak anahtara güvenmek başından beri güvenli değildi.

Hiçbir kontrol listesinin yakalayamadığı şey: sadece parası biten, piyasa yapıcılar tarafından sıkıştırılan ya da projeyi desteklemeyi bırakmaya karar veren dürüst bir ekip. Doğrulama sizi sözleşmeye karşı korur. Kötü bir iş modeline karşı korumaz.

Adım 1: adresi projenin kendi kaynağından alın

Kontrat doğrulamanın ilk kuralı, doğrulanacak güvenilir bir adresiniz olmadan kontratı doğrulamamanızdır. Çekirdek ekip üyesi dışındaki kişilerin arama sonuçları, X yanıtları, Telegram sabitlenmiş mesajları ve Discord duyuruları güvenilir kaynaklar değildir, çünkü düzenlenebilir, taklit edilebilir veya satın alınabilirler. Başlangıç adresiniz üç yerden birinden gelmelidir: projenin birincil web sitesi, ekibin token lansmanından önce kontrol ettiği bir alan adı veya ekibin bu alan adından bağlantı verdiği bir blok gezgini sayfası.

Proje sitesini yeni bir sekmede açın. Alan adını elle yazın, bir bağlantıyı takip etmeyin. 'Token', 'kontrat' veya 'işlem' sayfasını arayın. Oradaki adres sizin başlangıç noktanızdır. Sitede kontrat adresi yoksa, bu kendi başına bir uyarı işaretidir: meşru projeler adresi neredeyse her zaman görünür bir yere koyar. Arama reklamı, kontrat adresinin ortaya çıktığı tek yer ise, tüm projeyi şüpheli kabul edin.

Adresi aldıktan sonra dikkatlice kopyalayın. Her Ethereum tarzı adres 42 karakter uzunluğundadır ve 0x ile başlar. Tek bir yanlış karakter işlemi muhtemelen hata döndüren bir kontrata gönderir, ancak gerçek, saldırganın kontrol ettiği bir kontrata denk gelen bir yazım hatası paranızı doğrudan bir hırsıza yönlendirir. Pek çok cüzdan artık bilinmeyen kontratlar için uyarı verir, ancak uyarı siz imzaladıktan sonra çıkar, önce değil. Kendi gözlerinizi ilk savunma hattı olarak görün.

Adım 2: blok gezgininde kontrat sayfasını okuyun

Adresi Etherscan, BscScan, Solscan veya zincire uygun olan blok gezginine götürün. Kontrat sayfası, gerçek doğrulamanın ilk turunun gerçekleştiği yerdir. Beş şey arıyorsunuz ve bunlardan herhangi birinin başarısız olması uzaklaşmak için yeterli bir nedendir.

Kontrat durumu. Sekme yalnızca 'Adres' yerine 'Kontrat' yazmalıdır. Kontrat değilse, varlık standart bir DEX'te işlem yapabileceğiniz türde bir token değildir. Bazı zincirler ve bazı lansman platformları, kullanmayı düşündüğünüz toplayıcıyla etkileşime girmeyen standart dışı uygulamalar kullanır.

Kaynak kodu doğrulandı. Kontrat sekmesinde yeşil bir onay işareti ve 'Kontrat Kaynak Kodu Doğrulandı' etiketi görünmelidir. Doğrulanmış olması, dağıtıcının kaynağı yayımladığı ve bytecode'un eşleştiği anlamına gelir. Doğrulanmamış olması otomatik olarak dolandırıcılık anlamına gelmez, ancak kodun ne yaptığını okuyamayacağınız anlamına gelir ve bu kontrol listesinin geri kalanı onu okuyabilmeye bağlıdır.

Dağıtıcı cüzdanı. Dağıtıcı adresini açın. Dağıtıcının geçmişine bakın. Bu cüzdan on tane başka token dağıttı mı ve her biri battı mı? Yüz tane kopyala-yapıştır kontrat mı dağıttı? Daha önce hiç kontrat dağıtmamış mı? Bu üçü de uyarı işaretidir. Ciddi bir proje ortaya çıkaran bir ekibin genellikle az sayıda kontratı olan, çoğu zaman bilinen çoklu imzalara veya Create2 yardımcıları gibi dağıtım fabrikalarına bağlı bir dağıtıcısı olur.

Dağıtım tarihi ve yaşı. Tanıtıldığı gün dağıtılan bir kontrat yüksek risk sinyalidir. Zincir üstü geçmişi olan eski kontratlar varsayılan olarak güvenli değildir, ancak geçmişin olmaması güçlü bir uyarıdır.

Token standartları ve ondalıklar. Token'ın ERC-20 (veya hedef zincirdeki eşdeğeri) olduğunu doğrulayın, ondalıkların projenin söylediğiyle eşleştiğini doğrulayın ve toplam arzın yayımlanan rakamlarla eşleştiğini doğrulayın. Sessizce 18 yerine 9 ondalıkla çalışan bir token, fiyatları olması gerekenin 1.000.000.000 katı olarak gösterecek ve birkaç dolandırıcılık token'ı bir mikro sermayeli varlığı ucuzmuş gibi göstermek için bu hileyi kullandı.

Adım 3: bal tuzağı kontrol Aracı ile satış simülasyonu yapın

Kontrat sayfası temiz göründükten sonra, bir sonraki kontrol aslında satıp satamayacağınızdır. Pek çok dolandırıcılık kontratı alımları kabul eder ve satışları reddeder ya da çıkışta ağır bir vergi uygular ya da ekibin ilk satışta çağırabileceği bir kara liste fonksiyonuna dayanır. Bunların hiçbiri Etherscan'da görünmez. Satışı bir sanal alanda denemeniz gerekir.

honeypot.is, token-sniffer ve de.fi tarayıcısı gibi araçlar, canlı kontrata karşı simüle edilmiş bir alım ve satış çalıştırır ve sonucu döndürür. Kontrat adresini yapıştırın, simülasyonu çalıştırın ve üç sonuca bakın: makul bir vergiyle (genellikle yüzde 0 ila 5) başarılı bir simüle edilmiş satış, projenin açıkladığı vergiyle eşleşen kısmi bir vergi ya da satışta bir geri dönüş (revert). Geri dönüş, bal tuzağıdır. Uzaklaşın.

Bal tuzağı simülatörleri faydalıdır, ancak sınırları önemlidir. Kontratın mevcut durumuna karşı tek bir test işlemi çalıştırırlar. Bugün geçen bir kontrat, yarın bir yönetici anahtarıyla yükseltilebilir, ekip ilk gerçek satıştan hemen önce bir kara listeyi açabilir ve kontrat, yalnızca gerçek hacimde devreye giren zamana dayalı mantık içerebilir. Simülatörü bir filtre olarak değerlendirin, garanti olarak değil. Geçmesi, kontratın kitap gibi bir bal tuzağı olmadığını söyler. Güvenli olduğunu söylemez.

Adım 4: en büyük sahipleri ve kilidi açılmış arzı okuyun

Dürüst bir kontrat bile arzın çoğuna sahip olan ve ilk gerçek alıcıların üzerine satış yapan bir ekip tarafından yönetilebilir. Sahip analizi, kontratın tek başına yapamadığı şekilde bunu yakalar. Gezginde 'Sahipler' sekmesini açın ve üç sayıya bakın: en büyük sahibin arzdan aldığı pay, en büyük on sahibin birleşik payı ve geri kalan pazarın elinde tuttuğu pay.

Pek çok token için, likidite havuzunu, yakım adresini ve açıkça vesting olan kontrat adreslerini hariç tuttuktan sonra, en büyük on sahip arzın yüzde 30 ila 40'ından fazlasını kontrol etmemelidir. Tek başına en büyük cüzdan yüzde 20 veya daha fazlasını kontrol ediyorsa ve bilinen bir vesting kontratı değilse, tek bir başarısızlık noktasına bakıyorsunuz. En büyük on sahip birlikte yüzde 60'tan fazlasını kontrol ediyorsa, pazar koordineli tek bir satışla sıfıra inmek üzere demektir.

Sonra kilidi açılmış paya bakın. Bir token, kağıt üzerinde sağlıklı bir sahip dağılımına sahip olabilir ve yine de bir tuzak olabilir, çünkü ekip geri kalanını 30 gün içinde kilidi açılan bir kontratta tutar. En büyük sahipleri projenin yayımladığı vesting ile çapraz referanslayın. Vesting 12 ay diyor ve kilit açma 30 gün içinde gerçekleşiyorsa, matematik değişmiştir ve grafik de muhtemelen öyledir. Token kilit açmaları ve vesting verileri, planlı bir kilit açmanın fiyat sabit görünse bile arz hikâyesini değiştirmesi nedeniyle Zipp'in duygu modelinin temel girdileridir.

Adım 5: likidite havuzunu, kilidi ve LP token sahiplerini kontrol edin

Kontratın kendisi hikayenin yalnızca yarısıdır. Diğer yarısı, tokenın alınıp satılmasını sağlayan likiditedir. DEX sayfasında üç şeye bakın: havuzda ne kadar likidite var, bunu kim sağladı ve LP tokenları kilitli mi.

Likidite büyüklüğü, kaybedilebilecek miktarın tabanıdır. Birkaç bin dolarlık likiditeye sahip bir havuz, tek bir işlem için hedeftir ve saldırganın halıyı çekmesi için tek bir işlem yeterlidir. Deneyimli traderların çoğu, birincil likiditede yaklaşık 50.000 doların altındaki her şeyi kendi işlem boyutları için fiilen işlem göremez kabul eder.

Likiditeyi kimin sağladığı önemlidir, çünkü ekip onu kaldırabilir. LP tek bir cüzdan tarafından eklenmişse ve LP tokenları kilitli değilse, ekip tüm havuzu tek bir işlemle çekebilir. LP bilinen bir kilitleme servisi tarafından eklenmişse, servisin sayfasına gidip kilidin tutarın tamamı için olduğunu, lehtarın doğru olduğunu ve kilit açma tarihinin beklenen elde tutma sürenizi karşılayacak kadar ileri bir tarihte olduğunu doğrulayın. En yaygın yumuşak halı, kilitli görünen ama lansmandan 24 saat sonra sessizce kilidi açılan tokendir.

Son olarak, LP token sahiplerine bakın. LP tokenlarının tek bir adres, dağıtıcı adresi veya dağıtıcının kontrol ettiği bir kontrat tarafından tutulduğu havuz, boşaltılabilecek bir havuzdur. LP'nin birçok sahip arasında dağıtıldığı bir havuzu ele geçirmek daha zordur, ancak yeterli LP'ye sahip kararlı bir saldırgan, havuzu kötü amaçlı bir uygulamaya taşımak için yine de oy kullanabilir. Alan düşmanca bir yerdir ve kontroller işlem büyüklüğüyle orantılı olmalıdır.

Adım 6: sosyal sinyalleri çapraz referanslayın ve bağlama dikkat edin

Kontrat verileri, kodun ne yaptığını ve zincir üstü dağılımın nasıl göründüğünü söyler. Token hakkında kimin konuştuğunu, neden konuştuğunu ve onu tanıtan hesapların gerçek olup olmadığını söylemez. Az miktarda sosyal bağlam, kontrat kontrollerinin kaçırdığı bir dolandırıcılık sınıfını yakalar.

Kontrat adresinden ilk söz eden hesaplara bakın. Yeni açılmış hesaplar mı, yoksa yıllardır aktif olan hesaplar mı? Bağlam içinde paylaşım yapan insanlar mı, yoksa yalnızca bir ticker ve bir kontrat adresi paylaşan hesaplar mı? Tartışma organik mi, yani içinde anlaşmazlıklar ve sorular var mı, yoksa tek taraflı övgü mü? Koordineli tanıtım bir dolandırıcılık kanıtı değildir, ancak organik itirazın olmaması yavaşlamak için bir nedendir.

Bağımsız risk analizleri arayın. Saygın analistler veya güvenlik firmaları kontratı işaretlediyse, bu işaretleri kontrat adresini tırnak içinde arayarak kolayca bulabilirsiniz. Belirli endişeleri adlandıran tek bir olumsuz paylaşım bulursanız, bunu dikkate alın. Para kaybeden bireysel yatırımcı, sorunu fark eden ilk kişi nadiren olur.

Son olarak, resmi kanalların gerçekten resmi kanallar olduğu temel kontrolünü yapın. Gerçek bir topluluğa sahip projenin kendi Discord'unda, kendi X hesabında ve kendi Telegram'ında uzun bir paylaşım geçmişi vardır. Bir dolandırıcılık genellikle yeni açılmış bir X hesabına, az takipçili bir Telegram'a ve son iki hafta içinde kaydedilmiş bir web sitesine sahiptir. Zincir üstü kontrat bir yaşında olabilir, ancak ekip ve topluluk tamamen yeni olabilir. İkisini de doğrulayın.

Kontrat kontrollerinin yakalayamadıkları

Yukarıdaki her adımın sınırları konusunda dürüst olmakta fayda var. Doğrulama bir filtredir, garanti değil. İçinden sızan başarısızlık sınıfları gerçektir ve gerçek para kaybettirmiştir.

Lansman sonrası yükseltmeler. Birçok kontrat yükseltilebilirdir, bu da ekibin istediği zaman yeni mantık gönderebileceği anlamına gelir. Bugün güvenli olan bir kontrat yarın tuzağa dönüşebilir. Tek hafifletme, açıkça yükseltilemez olduğu belirtilen tokenları almak ya da yükseltme gönderen bir projenin sizden anahtarlar konusunda ekibe güvenmenizi istediği riskini kabul etmektir.

Ele geçirilmiş anahtarlar. Çoklu imzaya ve donanım cüzdanlarına sahip bir ekip yine de oltalama saldırısına uğrayabilir. Bir hazine yine de boşaltılabilir. Kontrat tam olarak ekibin yazdığı şeydir, ekip tam olarak söyledikleri kişidir ve paralar yine de kaybolur. Merkezileşme, kontrat kodundan bağımsız olarak başlı başına bir risk faktörüdür.

Piyasa riski. Her kontrolden geçen bir token bile piyasa onu istemediği için sıfıra gidebilir. Doğrulama sizi dolandırıcılıktan korur. Kötü bir işlemden korumaz.

Token lansmanlarını akıllıca takip etmenin yolu

Token lansmanları hızlı hareket eder, etraflarındaki haberler de öyle. Hangi kontratların güvenli olduğunu, hangilerinin tanıtıldığını ve hangilerinin işaretlendiğini takip etmek elle yapılırsa tam zamanlı bir iştir ve telefondan yetişmeye çalışırsanız kaybedilen bir iştir. Zippfeed, tokenlarla ilgili manşetleri duygu puanlaması (bullish, neutral veya bearish) ve önem derecesiyle birlikte sunar, böylece gerçek ilgi gören lansmanları ve birkaç hesap tarafından pompalananları ayırt edebilirsiniz. Bu akışı yukarıdaki doğrulama kontrol listesiyle eşleştirdiğinizde, hangi kontratların kontrolleri yapmaya değeceğini daha hızlı belirleyebilirsiniz.

Sıkça sorulan sorular

Honeypot simülatöründen geçen bir token'ı satın almak güvenli mi?
Geçmesi, sözleşmenin şu an tipik bir honeypot olmadığı anlamına gelir, token'ın güvenli olduğu anlamına gelmez. Simülatör mevcut duruma karşı tek bir test işlemi çalıştırır, bu yüzden lansman sonrası yükseltmeleri, yönetici kontrollü kara listeleri ve gerçek hacimde devreye giren zamana dayalı mantığı kaçırır. Geçmeyi birçok filtre arasında tek bir filtre olarak değerlendirin ve asla yalnızca simülatör verisine güreşerek satın almayın.
Bir token'ın gerçek sözleşme adresini nasıl bulurum?
Projenin birincil web sitesinden, arama sonucuna tıklamak yerine elle yazarak alın. Adres yalnızca yanıtlarda, Telegram sabitlenmiş iletilerinde veya ücretli reklamlarda görünüyorsa, bunun bir taklit olduğunu varsayın. Sözleşme adresi genellikle projenin doğrulanmış sosyal hesaplarından bağlanan adresle aynıdır; bunu bir arama motorunda adresi tırnak içinde arayarak çapraz kontrol edebilirsiniz.
İlk on holder arzın yüzde 50'sine sahipse token satın almalı mıyım?
Muhtemelen hayır, bu holder'lar açıkça uzun kilit açma tarihlerine sahip vesting sözleşmeleri olarak tanımlanmadığı sürece. İlk on yoğunluğunun kabaca yüzde 50'nin üzerinde olması, küçük bir grubun fiyatı tek başına hareket ettirebileceği ve insider dump riskinin yüksek olduğu anlamına gelir. Çoğu token için, likidite havuzu ve yakım adresi hariç tutulduğunda ilk onda yüzde 30 ila 40 daha sağlıklı bir aralıktır.
Bir sözleşme Etherscan'da doğrulanmış görünebilir ve yine de dolandırıcılık olabilir mi?
Evet. Doğrulanmış kaynak kodu, yalnızca zincir üstü bytecode'un dağıtıcının yayımladığı kaynakla eşleştiği anlamına gelir, kaynağın dürüst olduğu anlamına gelmez. Bir sözleşme doğrulanmış bir honeypot, doğrulanmış bir mint fonksiyonu veya doğrulanmış bir yükseltme kancası olabilir. Yönetici fonksiyonları, mint fonksiyonları, kara liste fonksiyonları ve ücret mantığı için kaynağı okuyun ve bu okumayı yukarıda açıklanan honeypot simülasyonu, holder kontrolü ve likidite kilidi kontrolü ile birlikte değerlendirin.