2026'da cüzdan boşaltıcıları artık tohum ifadenizi isteyen kaba açılır pencereler değil. Şimdi Permit2 gibi token onay imzalarını kötüye kullanıyorlar, binlerce cüzdanı benzer görünen adreslerle tozluyorlar, yapay zeka destekli ses ve avatarlarla destek ekibini taklit ediylar ve meşru cüzdanların üzerine binerek kullanıcı zehirli bir işlemi onayladığı anda varlıkları boşaltan zararlı tarayıcı eklentileri yayıyorlar.
Öne çıkanlar
- Modern boşaltıcıların çoğu tohum ifadenizi asla sormaz; sizi, sözleşmelerinin belirli tokenleri veya NFT'leri cüzdanınızdan taşımasına izin veren zincir üstü bir onayı imzalamaya ikna eder.
- Permit2 tarzı imzalar, birçok cüzdanın imzalamadan önce çok az uyarı göstermesi ya da hiç göstermemesi nedeniyle tek başına en büyük tırmanıştır.
- Adres zehirlenmesi işe yarar çünkü blok zinciri herkesin cüzdanınıza birkaç sent karşılığında küçük miktarlarda ETH veya SOL göndermesine izin verir ve umarım daha sonra yanlış adresi kopyalarsınız.
- Telegram ve Discord'da yapay zeka destekli taklit, sahte destek temsilcilerini deneyimli kullanıcıları bile boşaltabilecek kadar inandırıcı hale getirdi.
- Kötü bir imzadan sonraki ilk beş dakika, ne kadar kaybedeceğinizi belirler: onayları iptal edin, fonları temiz bir cüzdana taşıyın ve sizi imzalayan dapp ile etkileşimi durdurun.
2026'da bir cüzdan boşaltıcısı gerçekte nedir?
Cüzdan boşaltıcısı, genellikle bir akıllı sözleşme ile bir kimlik avı sitesinden oluşan ve sizi cüzdanınızdan varlık taşıma izni vermeye ikna etmek için tasarlanmış zararlı bir kod parçasıdır. Bu dolandırıcılığın eski sürümü olan, tohum ifadenizi isteyen sahte airdrop sitesi artık büyük ölçüde kullanılmıyor çünkü yıllarca süren uyarılar kullanıcıları o on iki kelimeyi çevrimiçi ortamda hiçbir yere yazmamaları konusunda eğitti.
Onun yerini daha karmaşık bir şey aldı. Modern boşaltıcı kitleri, karanlık web forumlarında aylık ücretler, panolar ve onları kiralayan suçlulara müşteri desteği ile abonelik hizmetleri olarak satılıyor. Operatörler, hangi tokenlerin ve NFT'lerin hedefleneceğini seçmelerine, onay limitleri belirlemelerine ve geliri gerçek zamanlı olarak takip etmelerine olanak tanıyan kullanışlı bir yönetim paneline sahip oluyor. Bu kitlerden bazıları tek bir kampanyada dokuz haneli rakamları çalmak için kullanıldı.
Bu değişim önemli çünkü kullanıcı deneyimi değişti. Artık anahtarlarınızı ele geçirmeniz için kandırılmanıza gerek yok. Sadece rutin bir onay gibi görünen bir yerde "imzala"ya tıklamanız için kandırılmanız yeterli. Cüzdan az önce ne olduğunu açıklamayı bitirdiğinde, boşaltıcı zaten stabil kripto paralarınızı, ETH'nizi, SOL'ünüzü veya en değerli NFT'lerinizi çeken bir işlem göndermiş olur.
Bu yüzden 2026 tehdit ortamı daha önce gelen her şeyden farklı görünüyor. Artık savunma "tohum ifadenizi asla paylaşmayın" değil. Ortalama kullanıcıya hiç öğretilmemiş daha uzun ve daha teknik bir kontrol listesi.
Eski tavsiyeler neden artık sizi korumuyor
Kripto hırsızlığına ilişkin zihinsel modeliniz "biri beni tohum ifademi yazmaya ikna etti" ise, dünkü saldırıya karşı kendinizi savunuyorsunuz. Bu tavsiyeyi yetersiz kılan üç değişiklik var.
Birincisi, donanım cüzdanları ve modern yazılım cüzdanları artık bir site tohum girişi istediğinde yüksek sesle uyarı veriyor. Boşaltıcı ekonomisi, hiçbir sırrın cihazınızdan çıkmadığı imza tabanlı hırsızlığa geçerek yanıt verdi. Normal bir giriş veya talep gibi görüneni imzalıyorsunuz ve cüzdan "bir sözleşmeyle etkileşim" hakkında belirsiz bir mesaj gösteriyor. O belirsizlik saldırının kendisidir.
İkincisi, çoğu meşru dapp artık kullanıcı deneyimini pürüzsüz hale getirmek için toplu onaylar, gazsız imzalar ve zincir dışı mesajlar kullanıyor. Boşaltıcılar da aynı altyapıdan yararlanıyor. Cüzdanın bakış açısından bir Permit2 mesajı imzalamak, bir Uniswap teklifini imzalamaktan ayırt edilemez. Cüzdan sözleşmeyi okumadan hangisinin kötü niyetli olduğunu söyleyemez ve çoğu cüzdan bunu sizin yerinize okumaz.
Üçüncüsü, saldırganlar sosyal mühendisliklerini zincir dışına taşıdı. Kimlik avı sitesi sadece ön kapıdır. Asıl manipülasyon, sizi ikna edici bir kopyaya yönlendiren DM'lerde, Telegram gruplarında, Discord sunucularında ve arama motoru reklamlarında gerçekleşir. Zararlı siteye ulaştığınızda, ona güvenmeye çoktan hazırlanmış olursunuz.
Permit ve Permit2 imza kötüye kullanımı
Permit, onay işlemi için gaz ödemeden bir sözleşmenin token'larınızı harcamasına izin veren bir Ethereum token standardıdır (EIP-2612). Uniswap tarafından öne çıkarılan Permit2 ise bunu genelleştirir ve tek bir zincir dışı imza, birçok token üzerinde geniş kapsamlı hakların verilmesini sağlar.
Dürüst kullanıcılar için bu pratiktir. Drainer'lar içinse bir hediye. Tek bir imzalanmış Permit2 mesajı, "harcama yapan kişinin listelenen token'ların herhangi bir miktarını, süre sınırı olmadan taşımasına izin ver" diyebilir. Cüzdan, çoğu kullanıcının okumayacağı uzun bir metin yığınıyla birlikte "Mesajı İmzala" gibi bir uyarı gösterir. Kullanıcı onaylarsa, drainer'ın arka ucu permit fonksiyonunu daha sonra, hatta günler sonra çağırıp parayı çekebilir.
Tehlike, cüzdanların göstermedikleriyle daha da büyür. Birçok cüzdan arayüzü, imzaların kırpılmış veya sadeleştirilmiş sürümlerini görüntüler ve bir Permit2 yükünü her zaman "bu, bir yabancının USDC'nizi boşaltmasına izin verir" şeklinde çözemez. Bazı cüzdanlar bilinen Permit2 kalıpları için uyarılar eklemeye başladı, ancak kapsam, özellikle Solana'da, benzer zincir dışı mesaj imzalamanın farklı çalıştığı ortamda, hâlâ dengesiz.
Buradaki savunma alışkanlıkları mekaniktir. Kasıtlı olarak bağlandığınız bir dapp'tan gelmeyen her "Mesajı İmzala" uyarısını kırmızı bayrak olarak değerlendirin. Cüzdanınız sunuyorsa, çözülmüş yükü okuyun. Büyük bakiyeler için belirli bir miktar ve kısa bir süre sonu olan zincir üstü onayları tercih edin ve işiniz bittiğinde bunları iptal edin.
Endüstriyel ölçekte adres zehirleme
Adres zehirleme, blok zincirlerinin herkesin bir başkasına çok küçük bir ücretle token göndermesine izin vermesinden yararlanır. Bir drainer operatörü binlerce cüzdan adresi üretir, son zamanlarda işlem yaptığınız adreslerin ilk ve son birkaç karakteriyle eşleşenleri seçer ve size değeri neredeyse sıfır olan bir tozlu işlem gönderir.
Gelen tozu fark etmezsiniz. Daha sonra, para göndermek için bir adres kopyaladığınızda, ilk altı ve son dört karakteri gerçek alıcıyla aynı göründüğü için zehirlenmiş adresi işlem geçmişinizden alırsınız. Transfer gerçekleşir ve paralar saldırganın cüzdanına ulaşır.
Ethereum'da, bu benzer görünümlü binlerce adresi üretmenin ve toz göndermenin maliyeti artık hedefli bir kampanya değil, arka plan altyapısı olarak işletilebilecek kadar düşüktür. Solana'da ise ekonomi daha da ucuzdur, çünkü temel işlem ücretleri bir sentin kesri kadardır ve SPL token transferleri daha da ucuz olabilir.
Azaltma büyük ölçüde prosedüreldir. Her zaman sadece öneki ve soneki değil, adresin tamamını doğrulayın. İşlem listesinden değil, etiketli bir kişiden kopyaladığınızdan emin olmak için cüzdanınızın adres defteri özelliğini kullanın. Yüksek değerli transferler için önce küçük bir test işlemi gönderin. Bilinmeyen kaynaklardan gelen tozları işaretleyen cüzdanları değerlendirin.
Yapay zekâ destekli destek kimliğine bürünme
Modern drainer saldırılarının en insani katmanı, müşteri desteğinin taklit edilmesidir. Operatörler Discord sunucularını, Telegram gruplarını ve hatta X yanıtlarını, meşru görünen hesaplarla doldurur: gerçek ekip üyelerinden alınmış profil resimleri, gerçekçi kullanıcı adı varyasyonları ve ilgisiz konulardaki yardımsever yorum geçmişi.
2025 ve 2026'da değişen şey, üretken yapay zekânın kullanılmasıdır. Kurucuların ses klonları, kullanıcıları bir "destek temsilcisinin" gerçek olduğuna ikna etmek için canlı Telegram aramalarında kullanıldı. Yapay zekâ tarafından üretilen video avatarlar, büyük borsalardaki uyum personeli gibi davranarak özel DM'lerde ortaya çıktı. Yapay zekâ sohbet botları, kurbanlarla uzun ve sabırlı konuşmalar yürüterek onları bir drainer sitesiyle sonuçlanan "doğrulama" sürecinden geçirdi.
Bunun işe yaramasının nedeni, kimliğe bürünmenin sabırlı olmasıdır. Saldırganın sizi otuz saniyede kötü bir bağlantıdan geçirmek için acele etmesine gerek yoktur. Bir Discord sunucusunda günlerce güven inşa edebilir, ardından sahte bir airdrop hakkında size DM atabilir ve sonunda bir Permit2 mesajı imzalanan bir "talep" sürecinde size rehberlik edebilir. Kötü niyetli siteye ulaştığınızda, gerçek bir çalışanla konuştuğunuzu düşünürsünüz.
Savunma, tüm istenmeyen DM'leri varsayılan olarak düşmanca değerlendirmektir. Büyük projelerdeki gerçek destek ekipleri neredeyse hiçbir zaman bir DM yoluyla iletişim başlatmaz; sizi bir destek sistemine veya resmi bir e-posta adresine yönlendirir. Birisi size önce ulaşıp bir projenin destek ekibinden olduğunu iddia ediyorsa, büyük bir olasılıkla bu bir dolandırıcılıktır. Doğrulamayı, iletişimin size verdiği kanal üzerinden değil, kendiniz açtığınız bir kanal üzerinden yapın.
Kötü niyetli tarayıcı eklentileri ve cüzdan yolculukları
Tarayıcı eklentileri daha sessiz ama büyüyen bir vektördür. Kalıp basittir. Saldırgan, meşru bir cüzdan eklentisini klonlar veya yeniden tasarlar, benzer bir ad ve simgeyle Chrome veya Firefox mağazasında listeler ve kullanıcıların yanlışlıkla yüklemesini bekler. Yüklendikten sonra eklenti, web sayfalarındaki adresleri değiştirebilir, cüzdan açılır penceresindeki işlem ayrıntılarını değiştirebilir veya kullanıcı bağlandığı anda oltalama sözleşmelerini çağırabilir.
Daha ince bir varyant, meşru eklentilerin üzerine biner. Bazı drainer operatörleri az sayıda yüklemeye sahip mevcut eklentileri satın alır, kötü niyetli bir güncelleme gönderir ve mevcut kullanıcı tabanının otomatik olarak güncellenerek ele geçirilmiş bir sürüme geçmesini sağlar. Eklenti normal şekilde çalışıyor gibi görünür, ancak artık imzalanan mesajları toplar ve bunları saldırgan kontrolündeki sunuculara iletir.
Mobil cüzdanlar da paralel bir riskle karşı karşıyadır. Sahte cüzdan uygulamaları uygulama mağazalarında ortaya çıkar, bazen ücretli tanıtım yoluyla arama sonuçlarının en üstüne kısa süreliğine ulaşır ve saldırganın zaten bildiği tohum ifadeleri üretir. Kullanıcı cüzdana para yüklediğinde, varlıklar dakikalar içinde dışarı yönlendirilir.
Buradaki savunmalar çevreseldir. Cüzdan eklentilerini yalnızca kullanmayı düşündüğünüz projelerin resmi web sitelerinden yükleyin. Bir eklentinin istediği izinleri gözden geçirin ve cüzdan işlemleri için gerekli olmayanları iptal edin. Mobilde, yeni bir cüzdan uygulamasına para yüklemeden önce geliştirici adını, yükleme sayısını ve son güncelleme tarihini doğrulayın.
İlk yardım: kötü bir imzadan sonraki beş dakikada yapılması gerekenler
Zararlı bir şey imzaladığınızdan şüpheleniyorsanız, önümüzdeki birkaç dakika ne kadar kaybedeceğinizi belirler. Hız önemlidir çünkü birçok drainer, paranızı çekmeden önce sizin fark etmeyeceğinizi umarak dakikalarca ya da saatlerce bekler.
Birinci adım, imzayı oluşturan dapp ile etkileşimi durdurmaktır. Sekmeyi kapatın, cüzdanınızın siteyle bağlantısını (hâlâ bu seçenek varsa) kesin ve ele geçirilmiş cüzdandan başka işlem imzalamayın. İmzalayacağınız bir sonraki işlem, onaylarınızı daha da tehlikeye atan ikinci aşama bir yük olabilir.
İkinci adım, kalan varlıklarınızı şüpheli siteyle hiç etkileşime girmemiş temiz bir cüzdana taşımaktır. Varsa bir donanım cüzdanı ya da tohum ifadesi çevrimdışı oluşturulmuş yeni kurulmuş bir cüzdan kullanın. Bunu ele geçirilmiş cüzdandan, yeni adresinize normal bir transfer (onay değil) imzalayarak yapın. Drainer belirli tokenları çoktan almışsa, henüz alınmamış olanları öncelikli olarak taşıyın.
Üçüncü adım onayları iptal etmektir. Ethereum'da revoke.cash gibi hizmetler, cüzdanınızın verdiği tüm onayları listeler ve zincir üstü iptaller göndermenize olanak tanır. Bunu ele geçirilmiş cüzdanı salt izleme durumuna geçirmeden önce yapın. İptal işleminin gaz ücretine mal olduğunu ve drainer'ların bazen iptaller için mempool'u izlediğini unutmayın; bu yüzden önce fonları taşıyın, sonra iptal edin.
Dördüncü adım, gerçek işlemi veya imzalanan mesajı incelemektir. Etherscan veya Solscan'da cüzdanınızdan yapılan en son işlemi bulun ve bilinen bir drainer sözleşmesiyle etkileşime girip girmediğini kontrol edin. Bir Permit2 mesajı imzaladıysanız ama henüz zincir üstünde bir işlem görünmediyse, drainer hâlâ göndermek için bekliyor olabilir. Onaylanmamış herhangi bir imzalanmış mesajı canlı mühimmat gibi değerlendirin.
Beşinci adım, ilgili projeleri bilgilendirmektir. Drainer bilinen bir protokolün kimliğine bürünmüşse, diğer kullanıcıları uyarabilmeleri için o protokole resmi bir kanaldan mesaj gönderin. Kötü amaçlı siteyi Google Safe Browsing'e, cüzdan sağlayıcısına ve dolandırıcılık adreslerini yayınlayan zincir analizi firmalarına bildirin.
Drainer haberlerinin yeni dalgasını eleştirel okumak
2026'da drainer haberleri genellikle iki şekilde gelir. Birincisi, tek bir kampanyanın on milyonlarca dolar çaldığını anlatan abartılı başlıklar; bunlar çoğunlukla eski ekran görüntülerini tekrar kullanır ve rakamları abartır. İkincisi ise güvenlik firmalarının, sözleşmeleri adlandıran ama imzaya yol açan sosyal mühendisliği açıklamayan aşırı teknik ölüm sonrası raporlarıdır.
Önemli olan ayrıntıları kullanın: hangi imza türü kötüye kullanıldı, hangi dapp'in kimliğine bürünüldü, hangi zincir hedef alındı ve kampanya hâlâ aktif mi. Doğrulanabilir bir zincir üstü cüzdandan gelmedikçe yuvarlak rakamlı kayıp toplamlarını görmezden gelin ve sizi "bağışıklık" kazandıracağı vaat edilen "yeni bir araç" sözlerini de dikkate almayın. Hiçbir araç, imzaladığınız şeyi okumanın temel disiplininin yerini tutamaz.
Zippfeed ile cüzdan drainer'larının bir adım önünde olun
Cüzdan drainer taktikleri her hafta gelişir ve hangi imzaların, zincirlerin ve kimlik taklitlerinin şu anda aktif olduğunu takip etmek başlı başına bir iştir. Zippfeed, kripto başlıklarını tüm webden çeker, her birini boğa, nötr ya da ayı olarak puanlar ve önem derecesine göre sıralar; böylece yeni kimlik avu kalıplarını ve güvenlik uyarılarını cüzdanınıza ulaşmadan önce fark edebilirsiniz. Her forum başlığını kendiniz takip etmek zorunda kalmadan kriptonun nabzını tutmak için kullanın.