İçindekiler
Önce ayır: senin "airdrop" dediğin hangisi
Çoğu acemi "airdrop" kelimesini ilk duyduğunda aklına "bedava" gelir. Ama NFT ve kriptoda aynı sözcük, aslında birbirine tam zıt iki şeyi gösterir; önce ayırmak gerekir.
Biri gerçek airdrop: bir proje ekibi, erken katılımcıları, aktif kullanıcıları ya da eski sahipleri ödüllendirmek için token veya NFT'yi bu kişilerin cüzdan adresine kendi isteğiyle gönderir. Açık kuralı, resmi duyurusu ve net bir alma kapısı vardır; özünde proje ekibinin bir "geri verme"sidir. Bu airdrop gerçekten var ama genelde hiçbir etkinliğe hiç katılmamış bir cüzdana durup dururken düşmez.
Diğeri oltalama airdrop'u: dolandırıcı çok değerli görünen, adı iddialı bir NFT'yi binlerce yabancı cüzdana ücretsiz gönderir. Bu bir ödül değil, bir yemdir. Yemde bir URL ya da "ödülünü almak için buraya git" cümlesi saklıdır; sen dediğini yapıp sitesine bağlanır, istediği işlemi imzalarsan cüzdanın boşaltılabilir.
Yabancılar neden cüzdanına bir şey atabiliyor
Çoğu kişi bunu çözemez: ben kimseye adres vermedim, biri nasıl cüzdanıma NFT sokabiliyor?
Sebep açık zincirin tasarımında. Cüzdan adresin herkese açıktır, herkes blok gezgininde uzun bir adres dizisini, geçmiş işlemlerini görebilir. Bir adrese para göndermek ya da NFT yollamak ise karşı tarafın onayını gerektirmez. Tıpkı biri kapı numaranı bilince posta kutuna ilan atabilmesi gibi, engelleyemezsin. Dolandırıcı bir program yazar, aynı yem NFT'yi tek seferde on binlerce, yüz binlerce aktif adrese topluca gönderir; maliyeti çok düşüktür.
Yani "geldi" olgusunun kendisi, seçildiğini, beğenildiğini hiç göstermez. Yalnızca adresinin açık bir listede olduğunu gösterir. Bu katmanı anlayınca "sana özel ödül", "yalnızca senin alabileceğin" gibi söylemlere artık kapılmazsın.
Oltalama airdrop'unun üç yaygın yöntemi
Tanımadığın NFT cüzdana girdikten sonra dolandırıcının asıl istediği bir sonraki adımdır, bir şey yapmandır. Üç yaygın yöntem var; bunları anlarsan karşılaştığında anında uyanırsın.
Yöntem bir: sahte alma sayfası, cüzdan bağlatıp yetki imzalatma
Bu NFT'nin görseline ya da açıklamasına bir URL yazılmıştır, örneğin "ek tokeni almak için xxx'e git". Girersin, meşru bir pazaryerine neredeyse birebir benzeyen bir sayfa çıkar, "almak için cüzdanı bağla" der. Bağlanınca imzalaman için bir işlem gösterir, bu işlem çoğu zaman bir approve (yetki)dir, yani "bu sözleşmenin cüzdanındaki şu tokeni oynatmasına izin ver" demektir. İmzaladığın an, karşı tarafın sözleşmesi sen habersizken tokenini çekebilir.
Yöntem iki: kötü niyetli approve, tasarruf hakkını teslim etme
approve aslında normal bir mekanizmadır: merkeziyetsiz borsada para değiştirirken, pazaryerinde NFT satışa koyarken, sözleşmenin varlığını oynatmasına önce yetki vermen gerekir. Sorun şu ki yetki "sınırsız tutar" olarak ayarlanabilir ve oltalama sayfası bilinçli olarak değerli bir tokenin tüm bakiyesine yetki verdirir. İmzalarken cüzdan ekranı yalnızca anlamadığın bir karakter dizisi gösterebilir; sen "alma" sanırsın, aslında "serbest bırakma"dır. Anlamadığın her imzayı önce durdurmanın sebebi de budur.
Yöntem üç: permit imzasıyla soygun, Gas'i bile sana ödetmeden
Daha sinsi bir tür de permit imzasıdır. Zincire giden bir işlem değil, bir "çevrimdışı imza"dır, bir kez "imzala"ya basarsın, Gas ücreti yok, transfer penceresi yok, zararsız görünür. Ama bu imza karşı tarafa bir yetki belgesi vermek gibidir; onu alıp zincirde senin adına yetki başlatabilir, varlığını çekebilir. Gas olmadığı, belirgin bir transfer uyarısı çıkmadığı için çoğu kişi imzaladıktan sonra bir sorun olduğunu hiç fark etmez.
Tanımadığın NFT geldiğinde doğru işlem adımları
Cüzdanında zaten kaynağı belirsiz bir NFT gördüysen panik yapma, onu "incelemeye" de kalkma. Aşağıdaki sıraya göre işlem yap, yeter.
| Yapılması gereken | Asla yapılmaması gereken |
|---|---|
| Gizle / spam işaretle (çoğu cüzdan ve pazaryerinde gizleme özelliği var) | Getirdiği herhangi bir bağlantıya tıklamak |
| Yokmuş gibi davran, cüzdanın diğer varlıklarını normal kullan | Cüzdanla onun gösterdiği siteye bağlanmak |
| Ortalığı temizlemek istersen pazaryerinde gizli işaretlemen yeter | Onu "transfer etmeye" ya da "satmaya" çalışmak (etkileşim tuzağı tetikleyebilir) |
| Yanlışlıkla yetki imzaladığından şüpheleniyorsan hemen iptale git (sonraki bölüm) | Sayfasında herhangi bir approve / permit imzalamak |
Özü tek cümle: etkileşme. Tanımadığın NFT'yi almak kendiliğinden bir şey kaybettirmez; kayıp her zaman sen "onun dediğini yaptıktan" sonra olur. Onu posta kutundaki bir küçük ilan say, bir göz at, çöpe at, hayatına devam et.
İmzalanmış bir yetki nasıl iptal edilir
Diyelim hatırladın, şüpheli bir sayfada gerçekten "bağlan"a basıp imza attın; şimdi yapman gereken şey yetkileri kontrol edip iptal etmektir.
- Yetki kontrol aracını aç. Blok gezginlerinin (Etherscan gibi) özel bir Token Approval (token yetki) sayfası vardır; toplulukta revoke.cash gibi siteler de sık kullanılır. Onlarla cüzdanı bağla, bu adresin hangi sözleşmelere ne kadar yetki verdiğini gör.
- Tek tek karşılaştır. Tanımadığın, neden yetki verdiğini hatırlamadığın sözleşmeleri ayır, özellikle yetki tutarı "sınırsız" görünenleri.
- İptal et (revoke). İptale basmak zincire bir işlem başlatır, biraz Gas ödemen ve cüzdanla onaylaman gerekir. İptal tamamlanınca o sözleşme artık ilgili varlığını oynatamaz.
- Varlık çoksa adres değiştirmeyi düşün. Kurtarma kelimelerinin bir işlemde sızmış olabileceğinden endişeleniyorsan (örneğin bir zaman bir siteye girdiysen) yetki iptali yeterli değildir. En sağlamı yepyeni bir cüzdan açmak, değerli varlığı yeni adrese taşımak, eski adresi tamamen kullanımdan kaldırmaktır.
Yetki iptal etmek ve adresi harf harf karşılaştırmak, NFT dünyasındaki "geç olmadan telafi edilebilen" az sayıda işlemden biridir, biraz Gas harcamaya değer. Transferden önce bir adresin doğru olduğundan emin olmak istersen, sitemizdeki ETH adres doğrulayıcı ile önce bir karşılaştır.
Gerçek airdrop genelde nasıl görünür, nasıl alınır
Bu kadar önlemden sonra korkudan da bir köşeye çekilme. Gerçek airdrop, NFT ekosisteminde eski kullanıcılara verilen bir avantajdır; yalnızca alma biçimi oltalama airdrop'undan belirgin biçimde farklıdır.
- Haber resmi kanaldan gelir. Proje ekibi airdrop kurallarını kendi doğrulanmış resmi sitesi ve resmi sosyal hesaplarından duyurur, doğrudan cüzdanına sokup "kendin keşfet" demez.
- Kural doğrulanabilir. Kim hak sahibi, hangi ölçüte göre, ne zaman alınır, hepsi açıkça yazılıdır ve blok gezgininde anlık görüntüye (snapshot) karşı doğrulanabilir.
- Alma kapısını tekrar tekrar doğrula. Gerçek proje bile olsa, alma sayfasına resmi duyurudan gir; arama sonucundan, özel mesaj bağlantısından, yorum kısmından girme, buralar en kolay sahte sitece taklit edilir.
- Gerçek alma genelde yüksek riskli yetki istemez. Meşru alma genelde sıradan bir claim işlemidir, iyi gör sonra imzala; biri aniden değerli bir tokenin tüm bakiyesine yetki vermeni isterse dur ve yeniden doğrula.
Tek cümle: gerçek airdrop'u "kendin gidip resmiden alırsın", oltalama airdrop'u "peşinden koşup sana aldırmaya çalışır". Yön ters çevrilince niteliği de ters çevrilir.
Sık sorulan sorular
Cüzdanımda hiç almadığım bir NFT belirdi, ödül mü kazandım?
Neredeyse kesinlikle iyiye işaret değil. Herkes senin onayın olmadan cüzdan adresine ücretsiz NFT gönderebilir; bu yüzden tanımadığın bir NFT alman seçildiğin anlamına gelmez, daha çok dolandırıcının ağ atması demektir. Bu NFT'ler genelde tuzağı görsel ya da isimde saklar, seni bir siteye cüzdan bağlatmaya ve yetki imzalatmaya çeker. Doğru olan: getirdiği bağlantıya tıklamamak, sitesine bağlanmamak, NFT'yi gizleyip görmezden gelmektir.
Sadece cüzdanı bağladım, henüz para göndermedim, çalınabilir miyim?
Salt cüzdan bağlamak (sitenin adresini okuması) genelde doğrudan varlık kaybettirmez; asıl tehlike sonradan çıkan imzadadır. Bir approve yetkisi ya da permit izni imzaladıysan, bir token ya da NFT'nin tasarruf hakkını karşı tarafın sözleşmesine vermiş olursun; sonra sana sormadan varlığı çekebilir. Yani mesele bağlamak değil, yetki türünde bir işlem imzalayıp imzalamadığındır. Anlamadığın her imzayı önce durdur.
Şüpheli bir yetki imzaladım, şimdi telafi edebilir miyim?
En kısa sürede yetkiyi iptal et. Blok gezgininin token yetki aracını ya da revoke.cash gibi bir sayfayı kullan, cüzdanı bağlayıp bu adresin hangi sözleşmelere yetki verdiğini gör, tanımadığın ve şüpheli olanları tek tek iptal et (iptal etmek de biraz Gas ister). Cüzdanında hâlâ değerli varlık varsa ve kurtarma kelimelerinin de sızmış olabileceğinden şüpheleniyorsan, en sağlamı yepyeni bir cüzdan açıp varlığı yeni adrese taşımak, eski adresi kullanımdan kaldırmaktır.
Gerçek bir airdrop ile oltalama airdrop'unu en hızlı nasıl ayırırım?
En basit ölçüt yöndür: gerçek airdrop'u kendin resmi siteye gidip alırsın, oltalama airdrop'u ise peşinden koşup sana aldırmaya çalışır. Gerçek airdrop resmi kanaldan duyurulur, kuralı blok gezgininde anlık görüntüye karşı doğrulanabilir ve genelde yalnızca sıradan bir claim işlemi ister. Bir şey cüzdanında davetsiz belirip seni bir bağlantıya, cüzdan bağlamaya ya da değerli bir tokene sınırsız yetki vermeye çekiyorsa, neredeyse kesin oltalamadır.
Kaynaklar
Bu yazıdaki güvenlik kavramlarını aşağıdaki sayfalarda kendin doğrulayabilirsin:
- ethereum.org/security, Ethereum'un resmi güvenlik ve oltalamaya karşı yönergesi
- Etherscan token yetki kontrolü, bir adresin yetkilerini gör ve iptal et
- revoke.cash, cüzdan yetkilerini topluca görüp iptal etmenin yaygın aracı
- MetaMask Destek Merkezi, cüzdan güvenliği ve imza konularında resmi açıklamalar
- Etherscan, adresle zincir üstü transfer ve sözleşme etkileşim kayıtlarını sorgula
- OpenSea dokümanları, pazaryeri tarafında spam öğeleri gizleme ve yetki mekanizması açıklamaları