Fiyatlar yükleniyor…
Zipp Zipp Reklam Ver
Kaydol Giriş yap

Cüzdan Boşaltma Kitleri: Airdrop Dolandırıcılıklarının Arkasındaki Ekonomi

Cüzdan boşaltma kitleri, kripto kimlik avını 500 milyon doları aşan bir hizmet endüstrisine dönüştürdü. İşte drainer-as-a-service modelinin nasıl çalıştığı, arkasındaki aktörler ve neden büyümeye devam ettiği.

security Zipp · 9 dk okuma ·
Cüzdan Boşaltma Kitleri: Airdrop Dolandırıcılıklarının Arkasındaki Ekonomi

Wallet drainer kitleri gerçekte nedir

Bir wallet drainer kiti üç şeyden oluşan bir pakettir: bir akıllı kontrat (ya da bir kontratı çağıran betik), bir kimlik avı açılış sayfası ve bir web paneli. Kontrat, kurbanın kimlik avı sitesinde bir işlem imzaladığında, saldırıya kurbanın cüzdanından belirli token ve NFT'leri taşıma izni verecek şekilde tasarlanır. Panel, dolandırıcılığı yürüten "ortak"ın gerçek zamanlı olarak gelen kurbanları görmesini ve kârın birikmesini izlemesini sağlar.

Ethereum ve EVM uyumlu zincirlerde en yaygın hile, kurbanı zararlı bir ERC-721 ya da ERC-1155 kontratı üzerinde bir setApprovalForAll çağrısı imzalamaya, ya da USDT veya USDC gibi bir ERC-20 için increaseAllowance imzalamaya ikna etmektir. Kurbanın bakış açısından olan şudur: "Airdrop talep et" düğmesine tıklar, cüzdanı açılır, normal bir onay gibi görüneni imzalar ve saniyeler içinde varlıkları gider. Solana'da karşılığı, bir talep ya da stake işlemi gibi görünen bir işlemin içine token transferi talimatlarının gömülmesidir.

Bu kitler özel zararlı yazılım değildir. Fiyat sayfaları, destek kanalları ve hatta müşteri başarı ekipleri olan ürünlerdir. Sektörün kullandığı ifade drainer-as-a-service (DaaS)'tır ve ölçekli kimiz avının istisna değil rutin hale gelmesinin yapısal nedeni budur.

Bu neden bir hobi değil, bir pazar

Yalnız çalışan bilgisayar korsanlarından hizmet ekonomisine geçiş, wallet drainer'lar hakkındaki en önemli tek gerçektir. Geç 2023'te kapandığı bildirilen Inferno Drainer, artık arşivlenmiş sitesinde, kapanmadan önce ortakların yaklaşık 80 milyon dolarlık varlığı boşaltmasına yardım ettiğini iddia ediyordu. Wallet Guard ve Scam Sniffer'daki güvenlik araştırmacıları, Pink Drainer, Angel Drainer, Monkey Drainer ve dönemsel olarak değişen haleflerden benzer gelirleri takip etti; bu kitler genelinde toplam tutarın yüz milyonlarca doları bulduğu tahmin ediliyor.

Ekonomi bu modeli kendi kendini sürdürür kılıyor. Güvenilir bir drainer inşa etmek önemsiz değildir: gaz optimizasyonu, birçok token desteği, gelirin aklanması için yöntemler ve cüzdanlar ile blok gezginlerinin uyarılar eklemesiyle sürekli güncellemeler gerektirir. Çoğu bireysel dolandırıcı bu işi yapamaz ya da yapmak istemez, bu yüzden onu kiralamayı tercih eder. Operatör teknik tarafı, ortak trafiği halleder ve genellikle operatöre %20, ortak için %80 olan (bazı kitlerde 30/70) paylaşım, hırsızlığa devam etmek için teşvikleri hizalar.

\p>

Bu paylaşım aynı zamanda tek bir kitin aynı anda yüzlerce "müşteriye" hizmet verebilmesinin nedenidir. Yeni bir ortak için marjinal maliyet neredeyse sıfırdır, bu yüzden operatörler özel Telegram ve Discord kanallarında, sıklıkla geçmiş ödemelerin ekran görüntüleriyle agresif biçimde pazarlama yapar. Inferno'nunki gibi üst düzey bir kapatma bile, ortakları çoğunlukla bir sonraki kite yönlendirir; oyun planı ve açılış sayfası şablonlarının çoğu aynı kalır.

Tipik kurban akışı, adım adım

Neredeyse her drainer saldırısı benzer bir sıra izler ve adımları tanımak en iyi savunmadır. Zincir genellikle kripto dışında başlar: bir arama motoru, bir sosyal ağ veya bir Discord sunucusu.

  • Arama reklamı veya ele geçirilmiş hesap yemi. Affiliate'ler Google veya Bing'de "Uniswap airdrop claim" veya "LayerZero claim" gibi terimler için reklam satın alır ve hedef URL'yi taklit bir alan adıyla değiştirir. Alternatif olarak, doğrulanmış X/Twitter veya Discord hesaplarını ele geçirir ve hedeflerinin zaten güvendiği hesaplardan sahte talep bağlantıları paylaşır.
  • Taklit açılış sayfası. Site, sahte takipçi sayıları, sahte yorumlar ve bir "Connect Wallet" düğmesiyle birlikte gerçek bir protokolün piksel piksel kopyasıdır. Alan adları genellikle birkaç gün içinde kaydedilir ve sıklıkla gizlilik hizmetleri veya ücretsiz kayıt şirketleri kullanır.
  • Drain modalı. Bağlandıktan sonra site kullanıcıdan "claim" veya "verify" etmesini ister ve bir cüzdan pop-up'ı çıkarır. Ethereum'da bu pop-up genellikle bir setApprovalForAll veya Permit2 imzasıdır; Solana'da kullanıcının hızla imzalaması için baskı yapılan bir işlemdir.
  • Otomatik süpürme. İmza ulaştığı anda drainer'ın arka ucu bir dizi transfer çağrısı gönderir. Yüksek değerli ERC-20'ler, yerel ETH ve değerli NFT'ler tek bir blok içinde taşınır. Saniyeler içinde varlıklar mikserler, köprüler veya yeni fonlanmış cüzdanlar üzerinden yönlendirilir.
  • Aklanması. Gelirler genellikle daha zayıf KYC'ye sahip zincirlere köprülenir, USDT veya USDC gibi stablecoin'lerle takas edilir ve peel chain'ler veya Tornado Cash halefleri gibi hizmetler üzerinden itilir. Bazı affiliate'ler iç içe geçmiş borsalar üzerinden doğrudan nakde çevirir; diğerleri token "temizleme" konusunda uzmanlaşmış OTC masası kullanır.

Bir arama reklamına tıklamadan cüzdan içeriğini kaybetmeye kadar tüm süreç beş dakikanın altında olabilir; bu yüzden kurban başına dönüşüm oranı düşük olsa bile hacim yüksektir.

En büyük kitler ve pazar hakkında ortaya koydukları

Inferno Drainer, kamuoyu farkındalığını sabitleyen vaka çalışmasıdır. Kasım 2023'teki kapanışından önce Inferno forumlarda açıkça reklam yapıyor, %20'lik bir pay alıyor ve bir güvenlik açığında kendi operatör panelini ifşa ederek araştırmacıların ele geçirilen tutarı saymasına olanak tanıyordu. Sonraki soruşturmalar, Inferno faaliyetini bir çekirdek cüzdan kümesine ve belirli merkezi hizmetler üzerinden aklama yollarına bağladı.

Pink Drainer, Inferno'nun çıkışından hemen sonra ortaya çıktı ve bir noktada daha yüksek operatör payıyla 30/70 paylaşımı reklamını yaptı; bu da dönüşüm oranlarına duyulan güveni gösteriyordu. Angel Drainer ve Venom Drainer benzer kalıplar izledi; her biri kaçınma üzerinde yineledi: alan adlarını daha hızlı döndürmek, cüzdan buluşsal yöntemlerini atlatmak için yeni onay kalıpları kullanmak ve Ethereum mainnet'in ötesinde Arbitrum, Base ve BNB Chain dahil zincirleri hedeflemek. Solana odaklı kitler, bazen drainer yerine "sweeper bot" olarak adlandırılır, SPL token'larında benzer bir model kullanır ve büyük bireysel kayıplar üretmiştir.

Bu kitler arasındaki kalıp aydınlatıcıdır. Operatörler üç şey üzerinde yineliyor: kurbanlara nasıl ulaşılır, imza nasıl meşru görünür ve gelir nasıl aklanır. Bir teknik işe yaramaz hale geldiğinde — örneğin Tornado Cash'in 2022'de yaptırım uygulanması gibi — operatörün işi bir sonrakini bulmaktır. Ürünün kendisi, cilalı bir kimlik avı ön yüzü ve bir drainer arka ucu, artık masa ödülüdür.

Kurbanlar için gerçekte ne yanlış gider

Bir drainer saldırısının risk profili alışılmadık biçimde ciddidir. Bir saklayıcının kayıpları karşılayabileceği veya fonların bazen merkezi olarak dondurulabileceği bir borsa hack'inden farklı olarak, drainer hırsızlığı öz-saklamalıdır ve etkili biçimde geri dönüşümsüzdür. Bir setApprovalForAll imzalandıktan sonra saldırgan bu onayı istediği zaman çağırabilir; dolayısıyla imza anında cüzdanda olmayan varlıklar bile sonradan boşaltılabilir.

Birkaç belirli başarısızlık biçimi dikkat çekmeyi hak eder:

  • Gizli onaylar kalıcıdır. ETH ve ERC-20'lerini boşaltan bir kurban "her şeyi kaybettiğine" inanıp uzaklaşabilir, ancak aktif bir NFT onayı saldırganın haftalar sonra cüzdana geri dönüp yeni edinilen öğeleri süpürmesine izin verebilir.
  • Permit2 ve zincir dışı imzalar. Modern drainer'lar, token izinleri için Uniswap tarafından yazılmış bir standart olan Permit2'yi, kullanıcılara harcama hakkı veren zincir dışı bir mesajı imzalatarak kötüye kullanır. Bu imzalar cüzdanlarda her zaman net uyarılar göstermez ve gas için ETH tutmayı gerektirmez; bu da saldırı maliyetini düşürür.
  • Tekrarlanan hedefleme. Bir cüzdan zincir üstünde drainer kurbanı olarak işaretlendikten sonra, genellikle sahibini kötü amaçlı bir siteye geri çekmek için tasarlanmış airdrop tarzı takip token'ları ve NFT'ler alır. Aynı cüzdan farklı kampanyalarda birden çok kez vurulabilir.
  • Stablecoin hızı. USDT ve USDC, likit, değiştirilebilir ve aklanması kolay oldukları için tercih edilen hedeflerdir. Stablecoin'lerde 50.000 dolar tutan ve yanlış onayı imzalayan bir cüzdan genellikle aynı blok içinde tamamen boşaltılır.
  • İtibar ve vergi sonuçları. Kurbanlar sadece finansal olarak savunmasız değildir; zincir üstü hırsızlığın kamusal niteliği, önceden ücret karşılığında fonları kurtarmayı vaat eden sahte "kurtarma hizmetleri" dahil daha fazla sosyal mühendisliğe kapı açabilir.

Maruziyeti değerlendiren bir okuyucu için dürüst özet şudur: tek bir günde atılan tek bir imza, yıllar içinde oluşturulmuş bir cüzdanı boşaltabilir ve hukuki yol çoğu yargı alanında sınırlıdır.

Kolluk kuvvetleri ve araştırmacılar drainer ekonomisini nasıl takip ediyor

Drainer kârlarını takip etmek, zincir üstü soruşturmadaki en net başarı hikayelerinden biridir. Her hırsızlık genel bir defter izi bıraktığı için Chainalysis, TRM Labs ve Elliptic gibi firmalar, bağımsız araştırmacılarla birlikte drainer adreslerini kümeleyebilir, fonları köprüler üzerinden izleyebilir ve bazen KYC uygulayan merkezi borsalardaki nakde çevirme noktalarını tespit edebilir.

Inferno vakası yine açıklayıcıdır. Araştırmacılar yatırma adreslerini bir araya getirdi, %20'lik operatör payını belirledi ve operatörün kendi hazine cüzdanlarını izledi. 2023 ve 2024'teki kimlik avı altyapısına yönelik birçok resmi işlem — alan adı ele geçirmeleri ve büyük phishing-as-a-service platformlarının kapatılması dahil — tam olarak bu tür kümelenme ile bilgilendirildi. En çok atıfta bulunulan topluluk panoları olan Wallet Guard ve Scam Sniffer, drainer hırsızlığının gerçek zamanlı toplamlarını yayımlamış ve cüzdanlarda doğrudan onayları işaretleyen kurban bilgilendirme hizmetleri yürütmüştür.

Bu çalışmanın gerçek sınırları vardır. Mikserler, çapraz zincir köprüleri, peel chain'ler ve merkeziyetsiz borsalar gibi saklamasız hizmetler izlenebilirliği köreltebilir. Operatörler ayrıca iç içe geçmiş hizmetler, çalıntı veya sentetik kimliklerle açılmış denizaşırı borsalardaki hesaplar ve gayri resmi OTC komisyoncuları aracılığıyla aklama yapar. Bir operatör tespit edildiğinde bile, kovuşturma tespitten daha zordur: birçok drainer operatörünün kripto suçlarında sınırlı iş birliği olan yargı alanlarında bulunduğuna inanılıyor ve affiliate'ler herhangi bir yerde olabilir. Inferno'nun gönüllü çıkışı, 2024'te güvenlik araştırmacıları tarafından birkaç kitin bozulması gibi manşet kapatmalar bile geçicidir: operatörler göç eder, affiliate'ler yeniden dağılır ve yeni bir kit genellikle birkaç hafta içinde baskın konuma geçer.

Bu sizin için pratikte ne anlama geliyor

Reklam içermeyen, dürüst çıkarım: drainer kitleri, özküçük saklama (self-custody) kullanan herkesin tehdit modelini değiştiriyor. Üç alışkanlık, maruz kalma riskini gözle görülür biçimde azaltıyor ve hiçbiri yeni bir şey satın almanızı gerektirmiyor.

İlk olarak, her imzayı geri dönüşü olmayan bir işlem olarak değerlendirin. Popüler Ethereum cüzdanları da dahil çoğu cüzdan artık işlemleri simüle ediyor ve neyin transfer edileceğini gösteriyor. Bu simülasyonları okuyun. Eğer bir "claim" işlemi sizden bir onay (approval) imzalamanızı istiyorsa, simülasyon çoğu zaman arkadaki drain sözleşmesini ortaya çıkaracaktır; işte o an sekmeyi kapatmanız gereken andır. Solana'da ise sadece ileri tıklayarak geçmek yerine işlemin talimat (instruction) listesine bakın.

İkinci olarak, cüzdanlarınızı ayırın. Airdroplar, mint'ler ve DeFi için kullanılan bir sıcak cüzdan, uzun vadeli varlıklarınızın büyük bölümünü barındırmamalıdır. Özellikle büyük USDT ve USDC bakiyeleri ile yüksek değerli NFT'ler gibi değerli varlıkları, yalnızca imza atmayı düşündüğünüzde bağladığınız bir soğuk veya donanım cüzdanına taşıyın. Bir sıcak cüzdan drene edilirse, kayıp sınırlı kalır.

Üçüncü olarak, allowlist ve iptal (revocation) araçlarını kullanın. Revoke.cx ve benzeri hizmetler, mevcut ERC-20 ve NFT izinlerini incelemenize ve iptal etmenize olanak tanır; bu, tanımadığınız bir siteyle her etkileşimden sonra yapılması faydalı bir temizlik adımıdır. Bazı cüzdanlar ayrıca harcamaya üst sınır (spend cap) ve uygulama bazında onay limitleri de destekler; bunlar, imzalasanız bile kötü niyetli bir onayın yapabileceğini sınırlar.

Bu alışkanlıkların hiçbiri bir garanti değildir ve hiçbir okuyucu bunlara öyle muamele etmemelidir. Drainer operatörleri uyum sağlar ve yeni onay kalıpları ortaya çıkmaya devam eder. Ancak bilinçli bir kullanıcı ile bilinçsiz bir kullanıcı arasındaki fark, beklenen kayıp açısından, bu küçük zahmete değecek kadar büyüktür.

Drainer ekonomisini eleştirel biçimde nasıl takip etmeli

Drainer ekonomisi hızlı hareket eder, onunla ilgili haberler de öyle. Manşetler çoğu zaman "kripto suçunu" tek bir sayıya indirger; oysa son dönem kayıplarının büyük bölümü borsa kaynaklı değil, oltalama (phishing) kaynaklıdır; bu sayıyı bağlamıyla birlikte okumak önemlidir. Zippfeed, güvenlik etiketli manşetleri duygu puanlaması (bullish, neutral veya bearish) ve bir önem derecesiyle birlikte sunar; böylece gerçek protokol riskini pazarlama kaynaklı korkudan ayırabilir ve cüzdanınızı gerçekten etkileyen haberlere göre hareket edebilirsiniz.

Sıkça sorulan sorular

Cüzdan boşaltma kitleri yasal mı?
Çoğu yargı bölgesinde evet, yasadışıdır. Bir drainer kitini geliştirmek, satmak veya işletmek bir dolandırıcılık ve bilgisayar sistemlerine yetkisiz erişim biçimidir; çok sayıda operatör hakkında dava açılmış ya da yaptırım uygulanmıştır. Bununla birlikte bu kitler genellikle yaptırımın zayıf olduğu yargı bölgelerinden çalıştırılır ve affiliate ağı bilinçli olarak dağıtılır; bu nedenle gerçek kovuşturma riski konuma ve kitin büyüklüğüne göre değişir. Drainer'ları araştırıyorsanız, kit operatörleriyle doğrudan teması gri alan değil, hukuki açıdan riskli bir bölge olarak değerlendirin.
Drainer-as-a-service gelirleri nasıl bölüyor?
Standart modelde operatöre %20, affiliate'e %80 pay düşer; ancak Pink Drainer gibi bazı kitlerde 30/70 oranı kullanıldığı bildiriliyor. Operatör; akıllı kontratları, kimlik avı şablonlarını, kontrol panelini ve kara para aklama hattını yönetir; affiliate ise kurbanları getirir. Operatörün %20-30'luk payı, drain anında otomatik olarak bir hazine cüzdanına yönlendirilir; bu yüzden affiliate hiçbir zaman tam tutarın kontrolüne sahip olmaz. Zincir üstü araştırmacıların bu hazineleri izleyerek toplam geliri takip edebilmesi de aynı nedenden kaynaklanır.
Airdrop claim siteleriyle hâlâ etkileşime girmeli miyim?
Herhangi bir airdrop claim sitesine, cüzdanınızı tutan bir yabancıya göstereceğiniz kadar temkinli yaklaşın. Gerçek projelerin gerçek airdropları, bir "claim" işlemi için asla setApprovalForAll, sınırsız bir ERC-20 izni ya da Permit2 imzası istemez. Sizden bunlardan herhangi biri isteniyorsa, neredeyse kesin olarak bir drainer ile karşı karşıyasınız. Bir claim sitesini test etmek isterseniz, içinde hiçbir varlık bulunmayan yeni açılmış bir yakma cüzdan kullanın ve o cüzdanı başka hiçbir işlem için kullanmayın. Bu genel bir rehberdir; kişisel durumunuza özel bir finansal ya da güvenlik tavsiyesi değildir.
Drainer kitleri kapatıldıktan sonra neden geri gelmeye devam ediyor?
Çünkü operatörler, affiliate'ler ve oyun planı birbirinden ayrıştırılabilir. Inferno, 2023'ün sonlarında faaliyetlerini durdurduğunda, ona bağlı affiliate'ler Pink'e, ardından Angel'e ve sonrasında birbirini izleyen yeni kitlere geçti; oysa alttaki kimlik avı kalıpları neredeyse aynı kaldı. İster gönüllü olsun ister kolluk kuvvetlerinin baskısıyla gerçekleşsin, kapatmalar esasen mevcut operatörün itibarını ve altyapısını sekteye uğratır; affiliate'lerden gelen talep ve arama reklamları ile ele geçirilen hesaplar üzerinden ulaşılan kurban arzı ortadan kalkmaz. Güvenlik araştırmacılarının drainer-as-a-service'i bir grup değil bir pazar olarak tanımlamasının nedeni de budur.
İlgili tokenler
$ETH $SOL $USDT $USDC

İlgili kılavuzlar