Kriptoparalar ile ilgili 2009 yılından bu yana sürekli olarak ponzi, dolandırıcılık (scam), kumar gibi benzetmeler yapılıyor. Bu benzetmeler bireyler, yatırımcılar, kurumsal yapılar hatta sık sık üst düzey devlet görevlileri, hükümet temsilcileri, düzenleyici kurumlar tarafından dile getiriliyor.
Yukarıda belirtilen açıklamalara kriptopara topluluğundan sert tepkiler geldiğini görüyoruz. Bu tepkilerin başlıca sebebinin, blokzincir, dağıtık defter tabanlı bu inovasyonun yeterince anlaşılamaması ve bir bütün olarak ekosistemin zan altında bırakılması yani genellemeci bir yaklaşımla önyargılı açıklamalar yapılması olduğunu ifade edebiliriz.
Peki bu açıklamalar tamamıyla haksız mı? Bu açıklamaların kaynağı ne?
Ne yazık ki bahse konu açıklamalar tamamıyla haksız değil. Her ne kadar yukarıda saydığım nedenlerle ben de bu tarz açıklamalara sık sık sert eleştiriler yöneltsem de ekosistemin yüzleşmesi gereken önemli problemler de var.
Henüz oldukça yeni, gelişim sürecinde, düzenlenmemiş bir piyasada blokzincir, dağıtık defter teknolojisinin devrimsel olarak nitelendirdiğimiz özelliklerinin kötüye kullanıldığını ve çok sayıda dolandırıcılık vakası olduğunu görüyoruz. Dolandırıcılık vakalarının azımsanamayacak kadar çok olması ve sayılarının farklı formlarda sürekli olarak artması nedeniyle kriptopara yatırımcılarının özellikle ekosisteme yabancı henüz yeni yatırımcıların çok dikkatli olması gerekiyor.
Bu yazıda başlıca kriptopara dolandırıcılıklarına değinilecek ve kriptopara kullanıcıları için farkındalık oluşturulmaya çalışılacaktır.
Dolandırıcılık Emailleri: Phishing, Zararlı Yazılım
Dolandırıcılar, çeşitli yollarla ele geçirdikleri email adreslerine sahte emailler düzenleyerek gerçek bir kurum, kuruluştan geliyormuş izlenimi vererek ve kurumsal email adreslerini taklit ederek mailler iletmektedir. Bu mailler ile kullanıcılar bir oltalama sitesine yönlendirilmekte ve gerçek kurum / kuruluşla ilişkili verileri bu siteye girdiklerinde (örn. giriş bilgileri) hassas bilgileri saldırganların eline geçmektedir.
Ayrıca email adreslerine saldırganlar tarafından ödül kazandınız, airdrop kazandınız, çekiliş kazandınız gibi ya da herhangi bir kurguda bir davet içeren ve bir linke tıklamanızı isteyen emailler gönderilebilmektedir. Bu tarz emaillerde zararlı bir bağlantıya tıklamanız istenmekte ve tıkladığınızda zararlı bir yazılımı yükleme ve verilerinizin ele geçirilmesi gibi olumsuz bazı sonuçlarla karşılaşma riskiniz bulunmaktadır.
Mail adresinize gelen emaillerin gönderici adreslerini dikkatli bir şekilde incelemek ve içeriğinden hareketle dolandırıcılık emaili olup olmadığını anlamaya çalışmak ve mail içeriğinde yer alan linklere gelişigüzel tıklamamak son derece önem arz etmektedir. Gönderici maili alan adı uzantısını kontrol etmek işinizi önemli ölçüde kolaylaştırabilir. Alan adları taklit edildiği için alan adlarını dikkatli incelemenizde fayda var. Örneğin [email protected] adresi [email protected] (ikinci adreste iki r bulunmaktadır) gibi taklit edilmekte ve kullanıcı tarafından sahte olduğunun anlaşılması engellenmeye çalışılmaktadır.
Telegram Mesajları ve Twitter Paylaşımları
Kriptopara ekosisteminde kriptopara projelerinin, borsalarının ve diğer kripto ilişkili entitelerin sıklıkla Telegram grupları kullandığını biliyoruz. Bu gruplarda admin olan kişilerin fotoğrafı ve ismi kullanılarak ve sadece kullanıcı adı değiştirilerek katılımcılara gerçekten ilgili kuruluş, proje temsilcisi, grup admini gibi özel mesaj atıldığını ve bu yolla çeşitli yöntemlerle ilgili Telegram grubu üyelerinin dolandırılmaya çalışıldığını görüyoruz. Bu mesajlarda, kullanıcının kripto adresi ile ilişkili özel anahtarını isteme, bir indirimden yararlandırma gibi vaatlerle bir adrese kriptopara göndermesini ya da zararlı bir linke tıklamasını isteme gibi içerikler olabilmektedir.
Telegram haricinde Discord gibi farklı platformlarda da benzer dolandırıcılık yöntemleri kullanılmaktadır. Özellikle Twitter’da çok sayıda dolandırıcılık ilişkili paylaşım yapılmakta, özellikle etkileşim alan kripto ilişkili tweetlerin hemen altında yorum olarak bahse konu içerikler (zararlı bağlantı adresi, dolandırıcılık grupları, etkinlikleri) hızlı bir şekilde paylaşılmaktadır. Çoğu zaman bu tarz işlemler botlar aracılığıyla otomatize bir şekilde yapılmaktadır.
Twitter ve diğer sosyal medya platformları üzerinde gördüğünüz kripto ilişkili her linke tıklamamanız, her gruba katılmamanız, her etkinliğe dahil olmamanız son derece önemlidir.
Dolandırıcı Projeler, Platformlar
Kriptopara ekosisteminde çok sayıda dolandırıcı projenin olduğunu biliyoruz. “Exit scam” olarak adlandırılan bu projeler, platformlar çeşitli vaatlerle yatırımcıları kandırarak satış yapmakta, fon toplamakta ve sonrasında bu vaatleri yerine getirmeden topladıkları fonlar ile ortadan kaybolmaktadır.
Dolandırıcı proje geliştiricileri bir şekilde ihraç edip dolaşıma soktukları varlıkları listeli platformlar üzerinde hızlı bir şekilde satarak fon toplamakta ve fiyat manipülasyonu yapmaktadır. Bu durum ilgili kriptoparanın değerini önemli ölçüde düşürmekte ve yatırımcıları zarara uğratmaktadır.
Dolandırıcı kriptopara borsalarının da çeşitli yöntemlerle kriptopara yatırımcılarını platformlarına çektiklerini ve kullanıcı fonlarını çalarak ortadan kaybolduklarını görüyoruz.
Dolandırıcı girişimlere, projelere, platformlara karşı kullanıcılar, geliştirici ekibi, bu ekibin üyelerini (bu tarz girişimlerde anonim girişimci ve geliştiricilerin yoğunlukta olduğunu görüyoruz), bu kişilerin güvenilirliklerini, bir merkezlerinin olup olmadığını, hangi yasal rejime tabi olduklarını, projenin niteliklerini, teknik özelliklerini dikkatli bir şekilde incelemelidirler. Ne yazık ki birçok durumda bu durumun anlaşılması oldukça zordur. Kullanıcılar kapsamlı araştırmalarla dolandırılma riskini önemli ölçüde düşürebilirler.
DeFi ve Merkezi Kriptopara Borsası, Platformu Hackleri
Kriptopara ekosistemi 2009 yılından bu yana hacking skandalları ile sarsılıyor. Japonya merkezli Mt. Gox kriptopara borsası hack olayından bu yana (etkileri günümüze kadar süren oldukça ünlü bir hack vakasıdır, araştırabilirsiniz) çok sayıda merkezi borsa ve kriptopara platformu (saklama hizmetleri, ICO’lar vs.) hacklemesi gerçekleşti. Bu hacklerden, hem ilgili platformda varlıklarını tutan yatırımcılar hem de kriptopara ekosistemi genel olarak önemli ölçüde zarar gördü.
Merkezi borsa ve diğer kriptopara hizmet sağlayıcılara benzer şekilde son aylarda çok sayıda DeFi (merkeziyetsiz finans) protokolünün hacklendiğini, akıllı sözleşme açıklıklarının istismar edildiğini ve bu saldırılarda milyarlarca dolar değerinde kullanıcı, platform varlığının çalındığını görüyoruz.
Ne yazık ki yapılan çok sayıda araştırma hem merkezi kriptopara borsaları hem de merkeziyetsiz finans protokolleri özelinde saldırıların içeriden planlandığını, organize edildiğini ve bu yolla kullanıcı varlıklarının çalındığını gösteriyor. Dolayısıyla yatırım yapılan ya da kullanılan platformun güvenilir bir platform olup olmadığının, hacking durumunda ilgili platformun hukuki açıdan ne tür sorumluluklar altına gireceğinin bir önceki başlık altında belirtilen kriterler çerçevesinde önceden araştırılması bu riskin azaltılması açısından son derece önemlidir.
Rug Pull
DeFi ekosisteminde son aylarda çok sık yaşanan önemli bir diğer dolandırıcılık “rug pull” girişimleridir.
DeFi protokolleri yatırımcılara ilgili protokolün işlevleri ile ilişkili olarak likidite sağlaması karşılığında çeşitli teşvikler vermektedir. Bu teşviklerden yararlanmak isteyen kullanıcılar ilgili protokol akıllı sözleşmelerine kripto varlıklarını kilitlemekte bunun karşılığında belirli vadelerde getiri elde etmektedir.
Rug Pull olarak adlandırılan dolandırıcılık girişiminde ilgili akıllı sözleşme tabanlı protokolün geliştiricileri kullanıcıların platforma kilitledikleri varlıkları çalarak ortadan kaybolmakta ve projeyi terk etmektedir. Bu tarz girişimlere karşı bir proje, platform ile ilgili ekibin iyice araştırılması, kurulan ortaklıklar varsa partnerlerin incelenmesi, teknik döküman ve vaatlerin detaylı bir şekilde incelenmesi son derece önemlidir. Kapsamlı bir inceleme dolandırıcılığa maruz kalma riskini önemli ölçüde düşürecektir.
Genel Olarak Dikkat Edilmesi Gerekenler;
- Kripto adresi ile ilişkili özel anahtarların hiçbir şekilde üçüncü kişilerle paylaşılmaması ve güvenli bir şekilde saklanması,
- Hiçbir şekilde bir kripto varlık platformu, cüzdanı, adresi ile ilişkili kurtarma kelimelerinin ve diğer hassas bilgilerin (giriş bilgileri vs.) üçüncü kişilerle paylaşılmaması,
- Özellikle DeFi protokolleri ve akıllı sözleşme tabanlı merkeziyetsiz işlem protokolleri ile etkileşime geçerken kullanılan Metamask vb. cüzdan uygulamalarının güvenilmez platformlara bağlanmaması,
- Bir platformda işlem yaparken Metamask vb. cüzdanlar aracılığıyla verilen izinlerin ve yapılmak istenen işlemlerin mutlaka detaylı bir şekilde kontrol edilmesi,
- Kullanılan kriptopara adresine kullanıcı bilgisi dışında gönderilen varlıklar konusunda dikkatli olunması ve bu varlıklar dikkatli bir şekilde araştırılmadan bunlarla işlem yapılmaya çalışılmaması,
- Kullanılan platformlara ilişkin web sitesi alan adlarının ve gelen maillerde gönderici adresinin sürekli olarak dikkatli bir şekilde kontrol edilmesi,
- Herhangi bir rasyonel temeli olmayan yüksek vaatli kampanyalar ve getiri modelleri konusunda son derece dikkatli olunması kriptopara ekosisteminde işlem yaparken dikkat edilmesi gereken başlıca konulardır.
Ayrıca;
- Kriptopara adresleri ile ilişkili özel anahtarlar bilgisayar üzerinde şifreli olarak tutulmalı mümkünse donanım cüzdanları kullanılmalı,
- Kriptopara transferi işlemlerinde zararlı yazılımlara karşı kopyalanan ve yapıştırılan ilgili kriptopara adresinin doğru olup olmadığı her aşamada kontrol edilmelidir.
Sonuç
Hem blokzincir teknolojisinin sunduğu kolaylıklar hem de kriptopara, blokzincir ekosisteminin henüz çok sınırlı düzenlenmiş ya da hiç düzenlenmemiş bir alan olması suçlular tarafından kötüye kullanılarak kriptopara dolandırıcılıklarının türü ve sayısı her geçen gün artmaktadır. Kriptopara yatırımcılarının yukarıda sayılan ve sayılmayan dolandırıcılıklara karşı son derece dikkatli olmaları gerekmektedir.
Özellikle kriptopara projeleri ve platformları çerçevesinde bazı durumlarda ilgili projenin, platformun bir dolandırıcılık girişimi olup olmadığını anlamak son derece zordur. Ancak her durumda yatırımcıların, yatırım yaptıkları, dahil oldukları platformu, projeyi, etkinliği mümkün olduğunca detaylı bir şekilde araştırması önem arz etmektedir.
Özellikle büyük gelir vaatleri olan ve rasyonel bir temeli olmayan proje ve platformlardan uzak durulmalıdır. Yatırımcılar “bedava peynir fare kapanında bulunur” sözünü akılda tutarak değerlendirmelerini yapmalıdırlar.