NFT Dolandırıcılıkları: Nasıl Tanınır ve Kendinizi Nasıl Korursunuz?

NFT dolandırıcılıkları, dijital koleksiyon alım-satımı sırasında tokenlarınızı, fonlarınızı ya da cüzdan özel anahtarlarınızı çalmaya yönelik hileli yöntemlerin genel adıdır. En yaygın türleri şunlardır: gerçek mint sayfasını taklit eden phishing siteleri, para toplandıktan sonra ortadan kaybolan ekiplerin uyguladığı rug pull saldırıları, Discord'da sahte kimlikle yaklaşan catfishing, pazaryerlerindeki gizli teklif değiştirme ve bağlı cüzdanı boşaltan kötü amaçlı yazılımlar. En güçlü savunma teknik değil, alışkanlık odaklıdır: her bağlantıyı doğrula, özel anahtarını asla paylaşma, mint için ayrı bir cüzdan kullan ve uzun vadeli varlıklarını donanım cüzdanında sakla. Bu rehber, her dolandırıcılık türünün nasıl çalıştığını adım adım açıklıyor ve hemen uygulayabileceğiniz bir güvenlik kontrol listesi sunuyor.

📷 Beş ana NFT dolandırıcılığı kategorisini gösteren etiketli diyagram — phishing, rug pull, catfishing, teklif değiştirme, kötü amaçlı yazılım — her biri kısa bir açıklama ile

NFT Dolandırıcılıkları Neden Bu Kadar Yaygın?

NFT'ler, izinsiz ve herkese açık blockchain ağları üzerinde çalışır. Bu açıklık, sistemin özüdür; ancak aynı zamanda bir zayıf noktadır: sahtekâr bir işlemi geri alacak veya çalınan fonları donduracak merkezi bir otorite yoktur. Cüzdanınızla bir işlem onayladığınızda bu işlem kesindir ve geri alınamaz.

Dolandırıcılar bu gerçeği çok iyi bilir. Tüm enerjilerini tek bir ana odaklar: sizi, tam olarak ne onayladığınızı anlamadan bir işlemi imzalamaya yönlendirmek. Büyük değer taşıyan ve biricik dijital varlıklar söz konusu olduğunda, bu yöntem son derece kârlıdır.

2021 NFT patlaması döneminde bazı koleksiyoncular dakikalar içinde altı ve yedi haneli dolar kayıpları yaşadı. Yıllar geçmesine rağmen kullanılan yöntemler pek değişmedi. Fark yaratan şey yalnızca teknik araçlar değil, her imzadan önce duraksama alışkanlığıdır.

En Yaygın NFT Dolandırıcılığı Türleri

Phishing Siteleri

Phishing, internetin en eski hilesi olmaya devam ediyor. Bir dolandırıcı, gerçek bir mint sayfasını ya da cüzdan açılır penceresini neredeyse birebir kopyalar; tek fark URL'dir. İki yoldan zarar görürsünüz: ya sahte sitede "mint" yapıp Ethereum'unuzu kaybedersiniz (NFT gelmez), ya da sahte MetaMask ekranına seed phrase'inizi yazarsınız. Çözüm can sıkıcı ama kesindir: cüzdanınızı bağlamadan önce alan adını resmi kaynaklardan teyit edin.

Rug Pull (Halı Çekme)

Rug pull, bir projenin arkasındaki ekibin toplanan fonları alıp ortadan kaybolmasıdır. Kimi zaman alıcılar mint ücretini öder, vaad edilen NFT hiç gelmez. Solana ekosisteminde böyle bir koleksiyon yaklaşık 1,3 milyon dolarlık mint gelirini bu yolla çaldı. Üstelik proje, üçüncü taraf bir kimlik doğrulama hizmetinden onay almıştı. Bu detay önemli: doğrulama rozeti bir sinyal olabilir ama asla güvence değildir. Kendi araştırmanızın yerini tutamaz.

Discord'da Catfishing (Sahte Kimlik)

Catfishing, bir projenin resmi Discord sunucusunda ekip üyesi ya da bot kılığına giren kişinin özel mesajla size ulaşmasıdır. "Özel whitelist", "erken mint fırsatı" ya da "bedava NFT" gibi teklifler sunar; bir adım sonra seed phrase'inizi ya da bir phishing bağlantısını ister. Bu o kadar yaygındır ki gerçek proje ekipleri artık kullanıcı adlarına "Sizi hiçbir zaman DM'lemeyiz" notunu eklemektedir.

📷 Resmi bir botu taklit eden sahte Discord DM ekran görüntüsü — "özel mint fırsatı" teklifiyle — kırmızı uyarı işaretleriyle işaretlenmiş

Teklif Değiştirme (Bid-Swap) Dolandırıcılığı

Pazaryerleri, satışa çıkarılmamış NFT'lere bile teklif verilmesine izin verir. Dolandırıcılar bunu şöyle suistimal eder: cazip bir teklif koyarlar, diyelim ki 5 ETH. Siz kabul etmek üzereyken ödeme tokenını, değeri neredeyse sıfır olan başka bir kripto parayla değiştirirler. Onayı vermeden hemen önce hem tutarı hem de ödeme tokenını yeniden kontrol etmezseniz, değerli bir NFT'yi neredeyse hiçe satmış olursunuz.

Pump-and-Dump (Yapay Fiyat Şişirme)

Koordine alımlarla bir koleksiyonun taban fiyatı yapay olarak yükseltilir; ardından geç girenlerin üstüne boşaltılır. Ünlüler ve büyük hesaplar bu şişirmeyi güçlendirir. Etkileyicilerin tanıtımı ve "garantili getiri" vaatleri uyarı işareti, fırsat değildir.

Kötü Amaçlı Yazılım ve Ele Geçirilmiş Cihazlar

Her boşalan cüzdanın arkasında ele geçirilmiş bir seed phrase yoktur. Sahte bir sponsorluk eki, kırılmış bir uygulama ya da şüpheli bir indirme dosyası; bunlar cihazınıza sessizce yerleşen kötü amaçlı yazılım olabilir. Bu yazılımlar uzaktan işlem imzalayabilir. Belgelenen vakalarda kurbanlar hiçbir phishing sitesine gitmediklerini kesinlikle ifade etmiş, yine de cüzdanları boşaltılmıştır. Donanım cüzdanı kullansanız bile, ele geçirilmiş bir cihaz sizi kötü niyetli bir işlemi onaylamaya kandırabilir.

Discord Sunucu Ele Geçirme

Saldırganlar bazen sizi doğrudan hedef almaz; projeyi ele geçirirler. Bir moderatör hesabını ele geçiren ya da bir Discord webhook'unu kötüye kullanan hacker, resmi duyuru kanalına sahte bir "gizli lansman" bağlantısı yayınlar. Güvenilir bir kaynaktan geldiği için üyeler hızla mint yapmaya koşar. Gerçek bir vakada saldırgan, ekip sunucu kontrolünü geri almadan önce yaklaşık 45 dakikada 88 ETH topladı. Resmi bir kanalda bile ansızın gelen "hemen mint yap" mesajı kırmızı bayraktır.

NFT Dolandırıcılıkları: Karşılaştırmalı Tablo

Aşağıdaki tablo her dolandırıcılık türünün size nasıl ulaştığını ve en etkili savunmayı özetlemektedir.

Gerçek Sayılarla: Phishing Saldırısı Ne Kadar Hızlı İşler?

Riskleri somutlaştırmak için gerçekçi bir senaryo çizelim. Varsayalım ki 5.000 üyeli bir Discord sunucusunda sahte bir "gizli lansman" duyurusu yayınlandı ve 580 kişi bu tuzağa düştü — aynı ölçekte gerçek bir vaka yaşandı.

• Her kurban ortalama 0,15 ETH tutarında kötü niyetli bir işlem imzalıyor.
• 580 işlem × 0,15 ETH = 87 ETH saldırganın kasasına giriyor.
• ETH'nin 2.500 dolar olduğu bir fiyat varsayımıyla: 87 × 2.500 = 217.500 dolar, tek saatte çalınıyor.
• Kişi başı kayıp yalnızca ~375 dolar — bu kadar "küçük" hissettirdiği için çoğu kurban uyarı işaretlerini görmezden geliyor.

İşte tam da bu asimetri dolandırıcıların işine yarar: bireysel kayıp önemsiz görünür, toplam hasat ise son derece cazip olur. Bağlantıyı doğrulamak için harcayacağınız on saniye, hayatınızdaki en ucuz sigorta poliçesidir.

NFT Güvenlik Kontrol Listeniz

Cüzdanınızı bağlamadan, mint yapmadan veya bir teklif kabul etmeden önce şu adımları sırayla uygulayın. Kayıpların büyük çoğunluğu, bu adımlardan birinin FOMO baskısı altında atlanmasından kaynaklanır.

1. Kendi araştırmanızı yapın (DYOR). Ekibin geçmişini, önceki projelerini, açıklanan fayda modelini ve gerçek topluluk etkileşimini inceleyin. YouTube tanıtım videosu araştırma sayılmaz.
2. Anonim ekiplere karşı temkinli olun. Takma adla çalışan kurucular otomatik olarak dolandırıcı değildir; ancak geçmişlerini doğrulamanız imkânsızdır. Riski buna göre değerlendirin.
3. Mint için ayrı bir cüzdan kullanın. Yeni sitelere düşük bakiyeli bir "burner" cüzdanla bağlanın. Başarılı bir mint'in ardından NFT'yi ana cüzdanınıza aktarın. Her yere bağladığınız tek bir cüzdana tüm varlıklarınızı koymayın.
4. Mint URL'ini çift kontrol edin. Bağlanmadan önce alan adını birden fazla resmi kaynaktan doğrulayın. Gerçek siteleri yer imlerine ekleyin; DM veya rastgele tweet bağlantılarına tıklamayın.
5. Kontrat adresini doğrulayın. İkincil pazarda şüphe uyandıracak ölçüde ucuza satılan ünlü bir koleksiyon neredeyse her zaman taklittir. Kontrat adresini projenin resmi sitesiyle karşılaştırın.
6. Uzun vadeli varlıklar için soğuk cüzdan kullanın. Donanım cüzdanı özel anahtarınızı çevrimdışı tutar; saldırganlar fiziksel cihaz onayı olmadan varlıklarınızı taşıyamaz.
7. Seed phrase veya özel anahtarınızı asla paylaşmayın. Hiçbir gerçek kişi, bot ya da destek temsilcisi bunu istemez. Seed phrase'i yalnızca kendi cüzdanınızı yedeklerken ya da geri yüklerken girersiniz — bir şey "talep etmek" için asla.
8. Şüpheli bağlantılara asla tıklamayın. Kripto işlemleri için kullandığınız cihazı kutsal kabul edin. Mümkünse ayrı bir tarayıcı profili veya cihaz kullanmayı değerlendirin.
9. Discord DM'lerini kapatın. Katıldığınız sunuculardaki yabancılardan gelen DM'leri devre dışı bırakın. Bu tek adım, en yaygın catfishing vektörünü ortadan kaldırır.
10. Çok iyi görünüyorsa, muhtemelen sahtecidir. Bedava mint, garantili getiri ve istenmeyen mesajlardaki "özel" erken erişim teklifleri yemdir. Harekete geçmeden önce her şeyi doğrulayın.

📷 On maddeyi onay kutuları ile listeleyen, yazdırılabilir tek sayfalık güvenlik kontrol listesi grafiği

Yeni Başlayanların Küçümsediği Riskler ve Tuzaklar

Dikkatli kullanıcılar bile bazı kör noktalar yüzünden tuzağa düşebilir:

• Doğrulama rozetlerine körü körüne güvenmek. Üçüncü taraf "doğrulandı" rozeti zayıf bir sinyaldir. Dolandırıcılar kimlik doğrulamasından geçmiş projelerle bile rug pull yapmıştır. Rozetler araştırmanızı destekler; yerine geçemez.
• Resmi kanalların güvenli olduğunu varsaymak. Ele geçirilmiş bir moderatör ya da webhook, gerçek duyuru akışına kötü niyetli bağlantı yayınlayabilir. Ansızın gelen bir "mint yap" mesajı görürseniz, Twitter/X ve diğer resmi kanallardan teyit edin.
• Kör imzalama (blind signing). Ne onayladığınızı okumadan işlemi geçirmek, "açıklanamaz" boşalmaların büyük bölümünün arkasındaki nedendir. İzin istemini okuyun; ne imzaladığınızı anlayamıyorsanız reddedin.
• Her şey için tek bir sıcak cüzdan kullanmak. Ana cüzdanınızı test edilmemiş her siteye bağlamak, tek bir kötü niyetli onay ile tüm varlıklarınızı tehlikeye atar.
• Etkileyici güveni. Pek çok promosyon ücretlidir ve hiçbir şey açıklanmaz. Ünlü onayını pazarlama olarak değerlendirin, doğrulama olarak değil.
• Akıllı sözleşme izinlerini iptal etmemek. Bir siteye bağlandığınızda verdiğiniz izinler, bağlantıyı kessseniz bile geçerli kalmaya devam edebilir. Revoke.cash gibi araçlarla düzenli olarak aktif izinlerinizi denetleyin ve artık güvenmediğiniz sözleşmeleri iptal edin.

COINOTAG Perspektifi

NFT güvenliği tek seferlik bir kurulum değil, sürekli bir alışkanlıktır. Soğuk depolama, kontrat doğrulama, ayrı cüzdanlar gibi teknik araçlar yalnızca her imzadan önce duraksama disipliniyle işe yarar. Büyük kayıpların ardındaki örüntü neredeyse her seferinde aynıdır: dolandırıcının yarattığı yapay bir aciliyet hissi, bir doğrulama adımını atlayan kurban ve geri alınamaz bir işlem. Hiç mağdur olmayan kullanıcılar en pahalı donanıma sahip olanlar değildir; "önce doğrula" ilkesini bir fırsat kaçıyor gibi görünse bile asla esnetmeyenlerdir. Geri ödeme olmayan bir piyasada sabır, en güçlü varlığınızdır.

Daha derine inmek istiyorsanız, kripto dolandırıcılıklarından kaçınma rehberimiz bu savunmaları NFT'lerin ötesinde tüm portföyünüze genişletmektedir. Koleksiyoncular için ise NFT projelerini temelden değerlendirme rehberi, rug pull'lara karşı en güçlü filtrelerden birini sunmaktadır. Seed phrase güvenliği konusunda ayrıntılı bilgi almak için seed phrase'inizi güvende tutma rehberimizi inceleyin.

Sonuç

NFT dolandırıcılıkları sihir değildir; blockchain işlemlerinin geri alınamazlığı ile sosyal mühendisliğin birleşimidir. Phishing, rug pull, catfishing, teklif değiştirme, pump-and-dump, kötü amaçlı yazılım ve sunucu ele geçirme saldırılarının tamamı aynı hedefe yönelir: sizi bir şey imzalamaya ya da paylaşmaya yönlendirmek. Her bağlantıyı doğrulayın, mint cüzdanınızı izole edin, değerli varlıklarınızı donanım cüzdanında saklayın ve seed phrase'inizi asla kimseyle paylaşmayın. Bu alışkanlıkları bir kez edinin; bu alandaki saldırıların ezici çoğunluğunu etkisiz hale getirmiş olursunuz.