Her ne kadar kripto piyasası düşüşlerle gündeme gelmiş olsa da NFT koleksiyonları ve NFT ile ilişkili metaverse projeleri hız kesmeden yatırımcılarla buluşmaya devam ediyor. Hatta geçtiğimiz haftalarda "Free-to-mint" yaklaşımıyla öne çıkan Goblintown NFT koleksiyonu da bu projeler arasında yer aldı.
DApp radar verilerine göre NFT pazarı Mayıs ayında 3.7 milyar dolara ulaştı. Bu metrik Nisan ayına kıyasla yüzde 20 düşük olsa da, token hacminde yüzde 6.5 yükseliş görüldü. Token hacimlerindeki artış ile NFT piyasası, kötü niyetli kişilerin hedefi haline geliyor. Son zamanlarda rastladığımız dolandırıcılık ve hackleme taktikleri, pek çok kişinin mağdur olmasına yol açarken, NFT'ye olan güvenin sarsılmasına neden olabilir. Gelin NFT dünyasında son zamanlarda gündemde olan dolandırıcılık ve hackleme taktiklerine birlikte bakalım.
Airdrop ile NFT gönderimi
Birkaç hafta önce Foobar'ın paylaştığı bir thread'e göre, Airdrop ile NFT gönderimi yakın zamanda benimsenen taktiklerden biri. Hackerlar, OpenSea kullanıcılarına airdrop ile bir tane NFT gönderiyor. Ardından bu NFT için 1 WETH teklif veriyor. Eğer bu teklifi onaylarsanız, kontrata başka koleksiyon ya da para için harcama yetkisi vermiş oluyorsunuz. Peki yetki verme süreci nasıl bu kadar hızlı gerçekleşiyor? OpenSea NFT ya da WETH transferleri için onaylar (approvals) üzerinden çalışıyor. Burada Onay, doğrudan token kontratını çağırabilen bir akıllı kontrat özelliği olarak konumlanıyor. Bu token'a onay verdiğinizde, söz konusu pazar yeri kontratına para harcamak için yetki vermiş oluyorsunuz.
Foobar'ın aktardığına göre, eğer yetki verdiğiniz pazar yeri, kötü niyetliyse paranız ya da NFT'iniz çalınabilir. Eğer token ya da NFT kötü niyetliyse pazar yerinize zarar veremiyor. Bu anlamda güvenilir pazar yerleri üzerinden işlem yapmak önem kazanıyor.
Hackerların güvenli bir pazar yeri olarak kabul edilen OpenSea'de bu yöntemi kullanmasının bir kaç nedeni olabilir. Bunlardan ilkinde, NFT'nizi harcamak için OS pazar yeri sözleşmesini onayladığınızda ve ardından teklifi kabul etmeye çalıştığınızda, teklif geri alınır. Bu kapsamda yayınlanan hata mesajı bir URL içerir. URL'ye tıklayarak siteye giderseniz, size kötü niyetli bir işlem imzalatmaya çalışılır. Böylece başlangıçta bahsettiğimiz gibi paranız çalınabilir.
Ayrıca NFT aynı zamanda daha sonra farklı bir uygulama mantığını hayata geçirmek üzere değiştirilebilecek bir vekalet sözleşmesi olarak konumlanır. Bu anlamda hackerlar, küçük bir miktar ETH gönderimi ile Dust saldırısı yaparak, cüzdan sahibinin başka hangi cüzdanlara sahip olduğunu öğrenebilir. Bu Dust saldırısından korunmak için saldırı kapsamında size gönderilen miktarı, başka bir cüzdana transfer etmemeniz gerektiğini belirtelim.
Sosyal ağlarda hackleme
Sosyal ağlarda sahte hesaplar oluşturmak ya da sosyal ağları hacklemek NFT dolandırıcılıkları için sıkça tercih edilen yöntemler arasında yer alıyor. Hatırlarsanız Nisan ayında Bored Ape Yacht Club, Twitter'da paylaştığı bir gönderi ile Instagram hesabının hacklendiğini duyurdu. O dönemde 24 Bored Ape ve 30 Mutant Ape'in çalındığı ve kaybın 13.5 milyon dolar olduğunu iddia edilmişti. Twitter'da gezinen iddialara göre saldırganların mintleme için Instagram hesabına yerleştirdiği sahte websitesi, alıcıların toplamda 1 milyon dolarlık kayıp yaşamasına sebep oldu. OpenSea transferleri ise yaşanan kaybın 1 milyon doların çok daha üstünde olduğunu gösteriyordu.
Bu hackten kısa bir süre önce de Bored Ape Yacht Club'ın ve Doodles'ın Discord kanalının hacklediğini size aktarmıştık. Saldırganlar, Yuga Labs'in 3 NFT koleksiyonu Bored Ape Yacht Club, Mutant Ape Yacht Club ve Mutant Ape Kennel Club'ın üyelerine ev sahipliği yapan Discord kanalını hedef aldı. Güvenlik şirketi PeckShieldAlert'in paylaştığı bilgilere göre saldırgan, NFT mint bağlantısı görünümünde bir kimlik avı (phising) bağlantısı paylaştı. Böylece Discord üyelerinden biri Mutant Ape Yacht Club #8662 NFT'sini çaldırmış oldu.
Bir süre sonra Discord sunucularında sıkça görülen hackleme yöntemlerinden biri de QR kodlar üzerinden hackleme oldu. Bu yöntemde sahte bir Discord botu, kimliğinizi doğrulamak için QR kodunu taramanız gerektiğini belirten bir mesaj paylaşıyor. Bu noktada Discord'da giriş yap sayfasında da QR kod ile giriş seçeneğinin yer aldığını belirtelim. Dolandırıcılar, Chrome sürücülerini kullanarak giriş sayfasını açarak QR kodu alıp, söz konusu Discord botuna gönderiyor. QR kodu tarayarak, dolandırıcıların iki faktörlü doğrulamayı atlamasını ve Discord hesabınıza erişmesini sağlıyorsunuz. Discord'a giriş token'ını üzerinden hareket eden bu hacker'lardan kurtulmanın tek yolu ise hesap şifresini yenilemek.
Rug Pull
Rug Pull yöntemi, genellikle merkeziyetsiz borsalara likidite sağlayan merkeziyetsiz finans (DeFi) projeleriyle ilişkilendirilir. Ancak son 2 yıldır bu yöntemi NFT pazarında da görmekteyiz. Rug Pull'da dolandırıcılar, sahte bir NFT projesini veya koleksiyonunu tanıtır. Para kazandırma vaadiyle alıcıları kendine çeken bu kişiler, genellikle projelerini sosyal medyada abartarak öne çıkarır.
Satış tamamlandığında NFT projesi kapsamında sunulan yol haritası hayata geçmediği gibi tüm promosyonlar da ortadan kalkar. NFT'nin değeri önemli ölçüde düşer, bu da ikincil satıştan gelir elde etme imkanını bir seçenek olmaktan çıkarır. Genellikle koleksiyon üreticileri, ortadan kaybolur ya da bir anda sessizleşir.
DeFi'lerde ise bu kişiler token'larını yüksek fiyattan sattıktan sonra likiditeyi başka bir yere taşır. Likiditenin ortadan kalkmasıyla token'ın fiyatları çakılır. Ayrıca bu kişiler, akıllı sözleşmelerdeki arka kapıları kullanılarak yatırımcıların fonunu da çalabilir.
Bu gibi durumlarla karşılaşmamak için koleksiyonun arkasındaki isimleri incelemekte fayda var. Ekibin önceki koleksiyonlarıyla ilgili bilgi almak, projelerin Whitepaper'ını incelemek ve geliştiricilerini takibe almak önemli. Ancak daha da önemlisi yatırım yaparken, tamamen bağımsız ve güvenilir kuruluşların kontrol ettiği (audit) projeleri dikkate almak olacaktır.
Açık artırma dolandırıcılığı
Genellikle ikincil satışlarda gerçekleşen açık artırma dolandırıcılığı, en yüksek teklifi veren kişiler tarafından gerçekleştirilebilir. En yüksek teklifi veren kişi, teklifi verdikten sonra kripto para birimini değiştirir. Bazı kripto para birimlerinin değeri düşük olduğu için teklifi veren kişi, NFT'ye daha düşük bir miktar ödeyerek sahip olur. NFT'yi satan kişi ise NFT'sini değerinden düşük fiyata satmış olur. Bu nedenle herhangi bir teklifi kabul etmeden önce, teklifi tekrar kontrol etmenizde fayda var.
Kopya NFT'ler
Kopya NFT'ler, başarılı bir NFT koleksiyonunun kopyalanmasıyla oluşur. NFT pazar yerlerinde sıkça rastlanan bu sorun, özellikle NFT sanatçılarının ve koleksiyonerlerini ciddi anlamda zarara uğratıyor. Kopya NFT'lerden korunmak için kimlik doğrulamasının önceliklendiren ve içerik moderasyonuna ağırlık veren güvenilir pazar yerlerini tercih etmenizi tavsiye edebiliriz.
Örneğin kopya NFT'lerin önüne geçmek için OpenSea görsel tanıma teknolojisinden faydalanıyor. Şirket, yeni mintler dahil olmak üzere OpenSea'deki tüm NFT'leri tarayacak. Taranan NFT'ler özgün koleksiyonlar ile karşılaştırılacak. Böylece kopya NFT'ler saptanmış olacak. Önümüzdeki aylarda görsel tanıma teknolojisinde kullanılan modelin genişletilmesi ve düzenli olarak geliştirilmesi planlanıyor.
Buna ek olarak kopyaların saptanması sürecinde insanlardan destek alınacak. İnsanlardan oluşan moderasyon ekipleri, görsel tanıma teknolojisinin sunduğu kaldırma önerilerini inceleyerek modelin gelişmesine katkıda bulunacak.
Bu konuya odaklanan bir başka şirket ise DeviantArt. Şirket geçen ay kopya NFT'leri engellemek için geliştirdiği DeviantArt Protect'i herkese açtı.
Bu yöntemlerden korunmak için ne yapabiliriz?
NFT projeleriyle yakından ilgilenen Webrazzi Ürün Yöneticisi Burak Özkırdeniz bu dolandırıcılık ve hack yöntemlerinden korunmak için neler yapabileceğimizi şu cümlelerle paylaştı:
Öncelikle kripto para ile işlem yapan kişilerin mümkünse hardware yani donanım cüzdanı kullanmasını öneririm. Ledger, Trezor gibi donanım cüzdanları sayesinde birçok online hack uygulamalarını baştan önlemiş olacaklardır. Ayrıca donanım cüzdanı da kullansalar hot wallet yani sıcak cüzdan olarak adlandırdığımız Metamask gibi cüzdanlar da kullansalar kesinlikle ve kesinlikle 12 veya 24 kurtarma kelimesini hiç kimseyle paylaşmamaları konusunda kendilerini uyarmak istiyorum. Bu 12/24 kurtarma kelimesi direkt olarak cüzdanınızı oluşturuyor. Bu şifreyi kaptırdıktan sonra "Şifremi unuttum" seçeneği veya sıfırlama olanağı sunulmadığı için geri dönüşü maalesef mümkün olmuyor.
Özellikle DeFi ve NFT Marketplace'lerle işlem yapan kişilerin kripto para cüzdanları ile hangi contractlara onay verdiklerini kontrol etmelerini ve hepsinin onaylarını Etherscan, Revoke ve Zapper yardımıyla kaldırmalarını öneririm.
NFT mint eden kişiler için ise en önemli tavsiyem kimlik avı (phishing) saldırılarına kurban olmamak için projeleri iyi araştırmaları ve projelerin mint sayfalarının doğruluğunu birkaç kez kontrol etmeleri olacak. Bir proje ortaya çıkarken gerçeğine ve gerçek ismine benzer sahte mint sayfaları üretiliyor. Bir çok kişiye ön alım hakkı verildiği söylenip bu sayfalardan gerçek olmayan kontratlarla işlem yapmaları sağlanıyor. Bu gibi durumlarla çok karşılaşıyoruz.
Ve son olarak güvenmediğiniz hiçbir linke tıklamamanızı ve cüzdan bağlamamanızı öneriyorum.