Hırsızlık, yazılı kanunlar ya da toplumsal meşruiyet düzeyinde mülkiyeti kendine ait olmayan bir nesneyi, kullanma, nesneden menfaat temin etme işidir. (bkz. Wikipedia). Tarihin en eski mesleklerinden birisi kuşkusuz hırsızlıktır. Dijital dünya geliştikçe, hırsızların yeni hedef noktaları da kuşkusuz kripto paralara kaydı. Merkezi olmayan alandaki dolandırıcılıklar yalnızca kripto paralarla sınırlı değil; Kötü niyetli aktörler, şüphelenmeyen kurbanları çeşitli şüpheli yollarla dolandırmak için NFT ortamını kuşatıyor.
Sanat dünyasında ‘meşruluğu’ konusunda hâlâ tartışmalar olsa da, NFT ve dijital sanat giderek daha fazla aranır hale geldi. Hem bana hem de çevremdeki sanatçı arkadaşlarıma özellikle Instagram üzerinden sürekli dolandırıcılık mesajları gelmeye başladı. Özellikle başka insanların fotoğraflarını çalarak oluşturdukları yeni Instagram hesaplarıyla iletişime geçmeye çalışarak, NFT yapılan bir sanat eserini satın almak ya da NFT yapılmayan bir sanat eserini NFT’ye dönüştürüp satın almayı teklif ettikleri bir dolandırıcılık furyası popüler durumda. Bir kaç arkadaşım bu mesajlara inanıp para kaybettikten sonra, biraz araştırdığımda geçtiğimiz bir kaç yıl içerisinde NFT dünyasında ciddi vurgunlar olduğunu fark ettim: Kurbanın cüzdanından çalmak üzere kişisel bilgilere erişim sağlamak amacıyla NFT alanındaki saygın markaların yetkililerinin kimliğine bürünmek, kurbanları sahte web sitelerine veya sahte airdrop’lar gibi programlara çekmek için Telegram, Discord, Twitter ve Instagram gibi resmi topluluk platformlarının hacklenmesi, NFT’lerini ve diğer kripto varlıklarını çalmak için kurbanların cüzdanlarını hacklemek gibi değişik yollar izleyen dolandırıcıların en meşhur yöntemlerine baktığımda birçok kişinin canının yandığını gördüm.
Azuki´nin, Ocak 2023’te bir saldırganın platformunda sahte bir bağlantı paylaşması sonucu 750 bin dolardan fazla para kaybettiği, öncesinde ise CryptoBatz koleksiyonunun Ocak 2022’de piyasaya sürülmesinden birkaç gün sonra CryptoBatz NFT sahiplerine yönelik, Nisan 2022’de BAYC’nin resmi Instagram sayfasında meydana gelen ve neredeyse 3 milyon dolar değerinde BAYC NFT’leri çalınmasında uygulanan yöntem “Kimlik avı dolandırıcılığıydı”. NFT alanında, kurbanlara kişisel bilgilerini girmelerinin isteneceği web sitesi, Discord bağlantıları gönderilerek kullanılıyor… (Bana da Foundation üzerinden böyle bir girişimde bulunulmuştu.)
NFT platformları, NFT’lerin oluşturulması ve listelenmesinde etkilidir. Bu nedenle, neredeyse aynı alan adlarında platformları kopyalayıp, aynı içerikleri barındırarak dolandırıcıların kurbanlarına ulaşması için kolay bir erişim noktası haline gelebilirler. Örneğin, dolandırıcılar Foundation.app kullanıcı arayüzünü kopyalayıp Foundation.com’da barındırabilir; OpenSea.iö’yü kopyalayabilir ve onu OpenSee.iö veya OpenSea.com’da barındırabilirler. Benzer kullanıcı arayüzü tasarımı nedeniyle, hiçbir şeyden haberi olmayan kurbanlar, klonlanmış platformu orijinal platformla karıştırıyorlar. Mesela X2Y2 pazarı, Mayıs 2022’de Google reklamları aracılığıyla bu tür bir dolandırıcılığa bulaştı. NFT platform adresi şüphe uyandırmayacak şekilde kurbanları dolandırmak için klonlandı ve keşfedilmeden önce 100 ETH’luk bir vurgun yapıldı.
Dolandırıcılar, kurbanlara korsan NFT’ler dağıtacak kadar ileri gidebilirler. Bu dolandırıcılık eylemi, kopyalanmış bir NFT’nin saygın bir platformda satılmasından, sahte bir NFT’nin klonlanmış bir platformda daha düşük bir fiyata satılmasına kadar farklı boyutlarda olabilir. Dolandırıcılar aynı zamanda özelliklerini veya renklerini değiştirerek kopyalanan NFT’leri de değiştirebilir. Saygın veya mavi tikli NFT’lerin çoğu genellikle bu NFT dolandırıcılığının hedefidir.
Kripto para projelerinde aniden ve beklenmedik bir şekilde geliştiricilerin tüm yatırımcı fonlarını çekerek projeyi kapattıkları yöntem “rug pull” yöntemi. Bu yöntemin ilk büyük vurgunlarından birisi Ekim 2021’de “Evolved Apes” NFT’nin piyasaya sürülmesiyle yaşandı. Geliştirici, yatırımcılara bir dövüş oyununa katılmak ve kripto ödülleri kazanmak için kullanılacak, ünlü maymunlara sahip olacaklarının sözünü verdi. Ancak yaratıcı 798 ETH ile kaçtı ve yatırımcıların elinde jpeg Ape görselleri kaldı. Bu yöntemi daha sonra 2022’de yatırımcılara 1,2 milyon dolara mal olan Frosties NFT dolandırıcılık projesinde de gördük.
Çoğu NFT yaratıcısının ünlü olmaması ya da heyecanlı bir şekilde markete yeni girmeleri, dolandırıcıların ağzını sulandırırken, NFT dolandırıcılıklarından kaçınmak, karmaşık denklemlerin çözülmesini gerektirmez; harekete geçmeden önce yalnızca kapsamlı araştırma ve doğrulama yapılmasını gerektirir. Ben özellikle Instagram üzerinden benimle iletişime geçen dolandırıcıların, sayfalarına yükledikleri bir fotoğrafı Google image´a yükleyerek sayfanın gerçek sahibini buluyorum. Ekran görüntüsünü dolandırıcıya geri yolladıktan sonra bir daha asla iletişime geçmiyorlar. Ayrıca, kimlik avı saldırılarının veya kısa sürede değiştirilmiş NFT satışlarının kurbanı olmaktan kaçınmak için işlemleri imzalamadan önce iki kez kontrol etmeyi de gerektirir. Bu arada, saygın platformları kullanmak ve heyecan verici performans geçmişine sahip saygın markaların NFT’lerine yatırım yapmak, dolandırıcılık kurbanı olmaktan kaçınmak için bir diğer güvenlik önlemi de olabilir.
Ümit Sural – 2023 Eylül
Barselona
