Kripto para dünyasında güvenliğinizi korumak için Ponzi sistemleri, sahte ico’lar, Sim Swap saldırıları ve oltalama siteleri gibi dolandırıcılık yöntemlerini bilmeniz gerekir. Bu kapsamlı rehberde, dijital varlıklarınızı hırsızlardan korumanın yollarını ve en yaygın kripto dolandırıcılık türlerini tüm detaylarıyla inceliyoruz.
Ponzi Sistemleri Nasıl Anlaşılır?
Kripto para ekosisteminde Ponzi sistemleri, genellikle “garanti kazanç” ve “sıfır risk” vaadiyle ortaya çıkar. Bu sistemlerin temel çalışma prensibi, eski yatırımcıların kârlarını sisteme yeni giren kullanıcıların parasıyla ödemektir. Gerçek bir ekonomik değer üretimi veya başarılı bir ticaret stratejisi yerine, sürekli yeni üye katılımına ihtiyaç duyarlar. Katılımcı akışı durduğunda sistem çöker ve kurucular toplanan fonlarla ortadan kaybolur.
Bir projenin Ponzi olup olmadığını anlamak için kullanılan en belirgin gösterge, piyasa koşullarından bağımsız olarak sunulan yüksek ve sabit getiri oranlarıdır. Eğer bir platform size günlük %1 veya aylık %20 gibi gerçek dışı kazançlar vaat ediyorsa, bu büyük bir kırmızı bayraktır. Ayrıca, projenin gelir modelinin belirsiz olması ve teknik dökümanların (whitepaper) yüzeysel kalması da şüphe uyandırmalıdır.
| Özellik | Meşru Yatırım Projesi | Ponzi Sistemi |
|---|---|---|
| Getiri Kaynağı | Piyasa faaliyeti, ürün satışı veya değer artışı | Yeni giren üyelerin yatırdığı anapara |
| Şeffaflık | Açık kaynak kodlu, denetlenebilir ve şeffaf | Karmaşık, gizli ve denetlenemeyen yapı |
| Risk Beyanı | Yatırımcıyı olası kayıplara karşı uyarır | “Sıfır risk” veya “Kesin kazanç” vaat eder |
Sahte ICO ve Ön Satışlar
İlk Coin Arzı (ICO) ve ön satış süreçleri, yatırımcıların projeye erken aşamada dahil olup yüksek kâr elde etme motivasyonunu kullanır. Dolandırıcılar, profesyonel görünümlü web siteleri oluşturarak ve ünlü isimlerin (sıklıkla deepfake teknolojisiyle) desteğini almış gibi yaparak sahte projeler pazarlarlar. Bu projelerin arkasında genellikle gerçek bir yazılım ekibi veya somut bir yol haritası bulunmaz.
Sahte ön satışlarda en yaygın yöntemlerden biri, yatırımcıların gönderdiği kripto paraları doğrudan bir cüzdana çekmek ve karşılığında hiçbir değeri olmayan veya transfer edilemeyen “hayalet tokenlar” vermektir. Bazı durumlarda ise dolandırıcılar, “likidite kilidi” (liquidity lock) olduğunu iddia etseler de, akıllı kontratta bıraktıkları açıklar sayesinde tüm havuzu saniyeler içinde boşaltabilirler (Rug Pull).
- Ekip Analizi: Proje ekibinin LinkedIn profillerini ve geçmiş başarılarını mutlaka doğrulayın.
- whitepaper incelemesi: Teknik dökümanın başka projelerden kopyalanıp kopyalanmadığını kontrol edin.
- Kod Denetimi (audit): Akıllı kontratın CertiK veya Hacken gibi saygın kuruluşlarca denetlenip denetlenmediğine bakın.
Sosyal Mühendislik Taktikleri
Sosyal mühendislik, teknik bir açıktan ziyade insan psikolojisindeki zayıflıkları hedef alır. Dolandırıcılar; korku, aciliyet hissi veya aşırı merak uyandırarak kullanıcıların hassas bilgilerini ele geçirmeye çalışır. Bu yöntemlerde genellikle “hesabınız tehlikede”, “büyük bir ödül kazandınız” veya “yeni bir airdrop fırsatı” gibi temalar işlenir. Kullanıcı panik veya heyecanla hareket ettiğinde, özel anahtarlarını (private key) veya kurtarma kelimelerini (seed phrase) kendi elleriyle teslim eder.
Kripto dünyasında en sık karşılaşılan sosyal mühendislik örneklerinden biri, teknik destek personeli kılığına giren dolandırıcılardır. Bu kişiler, yaşadığınız bir sorunu çözme bahanesiyle sizden ekran paylaşımı yapmanızı veya cüzdanınızı “senkronize” etmeniz için bir web sitesine bağlamanızı isterler. Unutmayın, hiçbir meşru platform sizden 12 veya 24 kelimelik kurtarma dizinizi istemez.
Telegram Gruplarındaki Sahte Yöneticiler
Telegram, kripto topluluklarının kalbidir ancak aynı zamanda dolandırıcıların en yoğun bulunduğu platformdur. Bir projeye dair soru sormak için resmi bir gruba girdiğinizde, saniyeler içinde “Admin” veya “Support” adıyla size özel mesaj (DM) atan kişiler muhtemelen dolandırıcıdır. Bu kişiler, resmi yöneticilerin profil fotoğraflarını ve kullanıcı adlarını (küçük harf-rakam değişiklikleriyle) birebir kopyalarlar.
Sahte yöneticiler genellikle size özel bir “yardım linki” gönderirler. Bu link sizi cüzdan bilgilerinizi girmenizi isteyen bir siteye yönlendirir. Altın kural: Bir yönetici asla size ilk mesajı atmaz ve asla cüzdanınızın gizli bilgilerini talep etmez. Telegram ayarlarınızdan “Size kimlerin mesaj atabileceğini” kısıtlamak bu saldırılardan korunmanın en etkili yoludur.
Sim Swap Saldırıları
Sim Swap veya “SIM Değiştirme” saldırısı, dolandırıcının operatörünüzü kandırarak telefon numaranızı kendi kontrolündeki bir SIM karta taşımasıdır. Bu saldırı gerçekleştikten sonra, telefon numaranıza gelen SMS tabanlı iki faktörlü doğrulama (2FA) kodları doğrudan saldırganın eline geçer. Bu sayede dolandırıcı, borsa hesaplarınızdaki şifreleri sıfırlayabilir ve tüm varlıklarınızı dakikalar içinde boşaltabilir.
Bu saldırı türünden korunmak için SMS tabanlı 2FA yerine mutlaka uygulama tabanlı (Google Authenticator, Authy) veya donanım tabanlı (Yubikey) doğrulama yöntemleri kullanılmalıdır. Ayrıca operatörünüzle iletişime geçerek hattınıza “SIM taşıma kilidi” veya ek bir güvenlik parolası tanımlatmanız hayati önem taşır.
Clipboard (Pano) Kopyalama Virüsleri
Kripto para adresleri uzun ve karmaşık olduğu için kullanıcılar genellikle bu adresleri “kopyala-yapıştır” yöntemiyle kullanır. Clipboard virüsleri (Clipper malware), bilgisayarınıza veya telefonunuza sızarak kopyaladığınız kripto adresini algılar. Siz bir adresi kopyaladığınızda, virüs bu adresi arka planda saniyeler içinde saldırganın cüzdan adresiyle değiştirir.
Eğer yapıştırdığınız adresi kontrol etmeden “Gönder” butonuna basarsanız, parayı kendi cüzdanınıza veya borsaya değil, doğrudan dolandırıcıya göndermiş olursunuz. Bu işlem blockchain üzerinde geri döndürülemez. Her zaman: Yapıştırdığınız adresin ilk 5 ve son 5 karakterini orijinal adresle karşılaştırarak doğrulayın.
Cüzdan İçi Sahte Tokenler (Dusting)
Cüzdanınızda aniden hiç satın almadığınız, değeri çok yüksek görünen veya garip isimli tokenlar görebilirsiniz. Buna “Dusting” saldırısı denir. Bu tokenlar genellikle bir reklam amacı taşıyor gibi görünse de, aslında cüzdanınızı izlemek veya sizi sahte bir merkeziyetsiz borsaya (dex) çekmek için gönderilir. Bu tokenları satmaya veya transfer etmeye çalıştığınızda, onay verdiğiniz akıllı kontrat cüzdanınızdaki asıl değerli varlıkları (ETH, USDT vb.) çekme yetkisi alabilir.
Tanımadığınız tokenlarla etkileşime girmemek en güvenli yoldur. Eğer bu tokenları cüzdanınızda görmek istemiyorsanız, onları gizleme (hide) seçeneğini kullanın ancak asla “swap” (takas) işlemi yapmaya çalışmayın. Bu tokenlar, cüzdanınızın aktif olup olmadığını ve bakiyenizi analiz etmek için birer yem olarak kullanılır.
Akıllı Kontrat Arka Kapıları (Backdoor)
Yeni ve popüler görünen DeFi projelerinde, kötü niyetli geliştiriciler akıllı kontrat kodlarının arasına “arka kapılar” yerleştirebilirler. En yaygın yöntem, kontratın “Approve” (Onay) mekanizmasını suistimal etmektir. Siz bir platformda işlem yapmak için cüzdanınızdan onay verdiğinizde, aslında o kontrata cüzdanınızdaki belirli bir miktarı harcama yetkisi verirsiniz. Dolandırıcılar bu yetkiyi “sınırsız” (unlimited) olarak ayarlar.
Bir süre sonra proje sahibi, “mint” yetkisini kullanarak sınırsız token üretebilir veya “emergencyWithdraw” gibi görünen fonksiyonlarla havuzdaki tüm parayı kendi cüzdanına aktarabilir. Bu tür riskleri minimize etmek için sadece güvenilir platformları kullanmalı ve belirli aralıklarla Revoke.cash gibi araçlarla cüzdanınızdaki aktif onayları temizlemelisiniz.
Borsa Görünümlü Oltalama Siteleri
Oltalama (Phishing) siteleri, popüler kripto para borsalarının (Binance, Coinbase vb.) veya cüzdan uygulamalarının (metamask) birebir kopyasıdır. Bu siteler genellikle arama motorlarında reklam vererek en üst sırada görünürler. Kullanıcı, sitenin URL’sine dikkat etmeden giriş yaptığında, kullanıcı adını ve şifresini dolandırıcıların veri tabanına kaydeder.
Bazı gelişmiş oltalama siteleri, gerçek zamanlı olarak 2FA kodunuzu da girmenizi bekler. Siz kodu girdiğiniz anda, arka planda çalışan bir bot asıl borsaya giriş yaparak çekim işlemini onaylar. Bu siteleri ayırt etmek için URL’deki harf hatalarına (örneğin; binnance.com yerine biance.com) ve SSL sertifikasının detaylarına dikkat etmelisiniz. Favori borsalarınızı tarayıcınızda yer imlerine eklemek en iyi koruma yöntemidir.
Mağdur Olunca Ne Yapılmalı?
Eğer bir dolandırıcılık yönteminin kurbanı olduğunuzu fark ederseniz, saniyeler bile çok önemlidir. Panik yapmak yerine hızlı ve soğukkanlı bir şekilde şu adımları izlemelisiniz:
- Cüzdanı İzole Edin: Eğer bir web sitesine cüzdanınızı bağladıysanız, internet bağlantınızı kesin ve cüzdan onaylarını (allowance) derhal iptal edin.
- Varlıkları Taşıyın: Eğer cüzdanınızda hala kurtarılabilecek varlık varsa, bunları hemen yeni ve temiz bir cüzdana (mümkünse donanım cüzdanına) aktarın.
- Borsayı Bilgilendirin: Eğer para bir merkezi borsaya (CEX) gönderildiyse, ilgili borsanın destek ekibiyle iletişime geçin. Bazı durumlarda borsa, çalınan fonları dondurabilir.
- Yasal Süreç Başlatın: Siber suçlarla mücadele birimlerine şikayette bulunun. Blockchain üzerindeki işlem kimliğini (TXID) ve saldırganın cüzdan adresini kanıt olarak sunun.
- Topluluğu Uyarın: Diğer kullanıcıların da mağdur olmaması için dolandırıcılık yöntemini sosyal medya platformlarında (X, Reddit) paylaşarak farkındalık yaratın.