Cüzdan Boşaltma Aracı Nedir? Kripto Para Boşaltma Araçları Nasıl Çalışır?
Her şeyinizi kaybetmek için kurtarma kelime öbeğinizi (seed phrase) vermek zorunda değilsiniz. Cüzdan boşaltıcılarla, "onayla"ya tıklayarak her şeyinizi kaybedersiniz. Ücretsiz airdrop sunan şık bir siteyi düşünün. Cüzdanınızı bağlarsınız, bir imza kutusu açılır, her dApp'in istediği şey olduğu için onaylarsınız ve saniyeler sonra kripto paralarınız ve NFT'leriniz gider. Hiçbir şifre çalınmadı. Hiçbir cihaz hacklenmedi. Hırsızlığı kendiniz onayladınız, genellikle hiçbir gas ücreti gerektirmeyen ve tamamen zararsız görünen bir imza ile. Tüm hile bu ve sadece 2024 yılında 494 milyon dolar çalmak için yeterince iyi çalıştı.
Bu rehber, cüzdanı boşaltan hırsızlık yöntemlerinin ne olduğunu, hırsızlığın tam olarak ne zaman gerçekleştiğini, suçluların bunu nasıl ücretli bir hizmete dönüştürdüğünü, ne kadar para çaldıklarını ve neredeyse hepsini durduran iki alışkanlığı ayrıntılı olarak açıklıyor.
Cüzdanı Boşaltan Şey Nedir ve Nasıl İşe Yarar?
Cüzdan boşaltıcı, bilgisayarınızda sessizce duran bir kötü amaçlı yazılım değildir. Bu, Web3'ü istila eden kötü amaçlı dApp'lerden biri olan, dostça görünen, sizi kandırarak erişim izni vermenizi sağlayan ve bunu yaptığınız anda varlıklarınızı silip süpüren kötü amaçlı bir akıllı sözleşme veya komut dosyasıdır. Boşaltıcılar neredeyse tamamen merkeziyetsiz finans (DeFi) ortamında bulunur; burada para, oturum açma yerine imza ile hareket eder ve kripto para birimleriniz ve diğer kripto varlıklarınız tam olarak hedefledikleri şeydir. Boşaltıcı asla özel anahtarınızı tahmin etmez ve hiçbir şifrelemeyi kırmaz. Sadece bir işlemi veya onayı imzalamanızı sağlayarak, yabancı birinin akıllı sözleşmesine fonlarınız üzerinde yetki verir.
Bu izin verildikten sonra gerisi otomatik olarak gerçekleşir. Saldırgan, cüzdanınızı okuyarak en değerli token'larınızı, NFT'lerinizi ve diğer dijital varlıklarınızı bulur, transferi oluşturur ve her şeyi, genellikle tek bir blok içinde, saldırganın kontrolündeki bir adrese taşır. İstek normal bir Web3 işlemi gibi göründüğü için, çoğu kurban cüzdan boşalana kadar ne olduğunu anlamaz. Tehlike bir virüs değil. Okumadan verdiğiniz bir izindir.
Cüzdan Boşaltıcı Bir Alet Cüzdanınızı Nasıl Boşaltır?
Her dolandırıcılık yöntemi aynı döngüyü izler: cezbetme, imza atma, dolanma. Paranın kaybedildiği yer orta aşamadır ve neredeyse hiç kimse bu aşamaya yakından bakmaz.
Yem
Öncelikle tuzağa düşmeniz gerekiyor. Dolandırıcılar sahte airdroplar, NFT basımları ve token talepleri başlatıp bunları yoğun bir şekilde yayıyorlar. X platformundaki doğrulanmış hesapları ele geçirip çalıntı sosyal medya hesaplarından bağlantılar paylaşıyorlar, Telegram ve Discord'da mesajlar bırakıyorlar ve sahte sitenin gerçek sitenin üzerinde yer alması için sponsorlu arama reklamları satın alıyorlar. Her zaman aciliyet, sınırlı sayıda basım veya süresi dolacak bir talep vurguluyorlar, çünkü sosyal mühendislik, düşünmeye vaktiniz olmadığında en iyi sonucu veriyor. Şifre veya giriş bilgisi arayan eski tip kimlik avının aksine, bir dolandırıcı sizin sırlarınıza hiç ihtiyaç duymuyor. Kullanıcıları tek bir eyleme ikna etmesi yeterli: cüzdanlarını sahte siteye bağlamak ve tek bir isteği onaylamak. İşte bu düşük eşik, dolandırıcıların bu kadar hızlı yayılmasının ve dikkatli insanların bile aceleci bir anda tuzağa düşmesinin nedenidir. Tıklayınca, güvendiğiniz bir projeye tıpatıp benzeyen ve cüzdanınızı bağlamanızı isteyen bir klon siteye ulaşıyorsunuz.
Tuzak, imzadır.
İşte asıl önemli kısım burası. Onay verdiğinizde "giriş yapmıyorsunuz" — belirli bir izni imzalıyorsunuz ve bunlardan bazıları yıkıcı olabiliyor. Bir ERC-20 `approve()` işlemi sınırsız bir yetki vererek bir sözleşmenin bu token'ı sonsuza dek harcamasına izin verebilir. `setApprovalForAll` ise bir koleksiyondaki tüm NFT'leri aynı anda dağıtır. En kötüsü ise çevrimdışı Permit veya Permit2 imzasıdır. Gaz maliyeti yoktur. Bir işlem değil, düz bir mesaj olarak görünür. Ve yine de bir transferi yetkilendirir. Çoğu insanın doğrudan düştüğü tuzak budur: SlowMist'in bir analizine göre, Permit tarzı imzalar 2024 yılında kimlik avı onaylarının %56,7'sini oluşturmuştur, çünkü hiçbir şeye benzemezler. Saldırganlar ayrıca yükseltmeleri de takip ederek `setOwner` gibi belirsiz çağrıları ve Ethereum'un Pectra sürümünden hemen sonra gelen yepyeni EIP-7702 yetkilendirmesini kötüye kullanıyorlar.
Tahliye
İmzayı attığınız anda, cüzdanı boşaltan kişi ihtiyaç duyduğu her şeye sahip olur ve sizi kurtaracak ikinci bir onay yoktur. Amaç basit ve acımasızdır: siz tepki vermeden önce fonları çalmak. Varlıklarınızı zaten haritalandırmıştır, bu nedenle transferi başlatır ve tokenlarınız tek bir blokta ayrılır. Blockchain işlemleri kesindir. Aranacak banka yok, geri alınacak ücret yok. Airdrop "yüklenemedi" hatası verdiğinde, yetkisiz transfer zaten zincir üzerinde tamamlanmış olur.
| İmzalamanız istenen şey | Size nasıl görünüyor? | Gerçekte ne sağlıyor? |
|---|---|---|
| ERC-20 `approve()` | Rutin bir token onayı | Bu tokenin sınırsız kullanımı |
| `setApprovalForAll` | "Toplamayı onayla" | İçindeki her NFT'nin kontrolü |
| İzin / İzin2 | Gazsız bir imza mesajı | Kullanılana kadar zincir üzerinde iz bırakmayan transfer hakları |
| `setOwner` / EIP-7702 | Tanıdık olmayan bir istem | Hesabınızın sahipliği veya yetkilendirilmesi |
Drenaj Hizmeti Olarak (DaaS): Kontrol Paneliyle Suç İşleme
Dijital para çekme araçları, saldırganlar daha zeki hale geldiği için yaygınlaşmadı. Yaygınlaşmalarının nedeni, birilerinin bu aracı bir ürüne dönüştürmesi ve bununla birlikte cüzdan hırsızlığını yayınlanmış bir fiyat listesine sahip organize bir siber suça dönüştürmesidir.
DaaS nasıl çalışır?
Hizmet Olarak Cüzdan Boşaltma (Drainer-as-a-Service) modelinde, bir geliştirici cüzdan boşaltma kitini oluşturur ve bakımını yapar, ardından kripto para cüzdanlarına karşı kampanya yürütmek isteyen herkese kiralar. Genellikle düşük becerili bir tehdit aktörü olan ortak, kimlik avı işlemlerini yürütür. Kit ise hırsızlığı gerçekleştirir. Kazancı paylaşırlar ve bu paylaşım fidye yazılımının işleyişini neredeyse birebir kopyalar: geliştiriciler çalınan her şeyin yaklaşık %20'sini, ortaklar ise diğer %80'ini alır. Bu pay karşılığında alıcı, hazır kimlik avı sayfaları, bir kontrol paneli, anonimlik araçları ve evet, gerçek müşteri desteği alır. Bir satır kod bile yazamayan bir genç, öğle yemeğine kadar profesyonel bir operasyon yürütebilir.
Cehennem, Pembe ve döner kapı
Başlıkta yer alan örnekler, olayın boyutunu gösteriyor. Inferno Drainer, 2022 sonlarından 2023 sonlarına kadar faaliyet gösterdi ve 137.000'den fazla kurbandan yaklaşık 87 milyon dolar çaldı; bu, en az 100 kripto markasını taklit eden 16.000'den fazla kimlik avı alan adına yayılmıştı. Pink Drainer ise operatörleri faaliyetlerini durduracaklarını açıklamadan önce yaklaşık 85 milyon doları akladı. Desene dikkat edin. Bir ekip emekli oluyor, siber suçlular bir sonraki yönteme geçiyor ve Inferno'nun kendisi "yeniden yüklenmiş" bir biçimde geri dönüyor. Bir operatörün ortadan kaldırılması piyasayı ortadan kaldırmaz; piyasa hizmettir, dolandırıcı değil.
Cüzdanı Boşaltanlar Ne Kadar Çalıyor?
Toplam rakamlar çok büyük, değişken ve yanlış yorumlanması kolay. Tek bir kripto cüzdan boşaltma kampanyası, tam bir borsa saldırısından daha fazla parayı tek bir işlemde ele geçirebilir ve yıllık rakamlar sürekli değişir.
En güvenilir kaynak olan Scam Sniffer , verileri yıl yıl sayıyor. Kayıplar 2023'te 324.000 kurban arasında yaklaşık 295 milyon dolara ulaştı, 2024'te %67 artarak 494 milyon dolara yükseldi, ardından 2025'te yaklaşık 84 milyon dolara keskin bir düşüş gösterdi . Bu düşüş bir kazanç gibi görünüyor. Ama değil. Bu çoğunlukla zincir içi aktivitenin ve kit değişiminin daha sakin olmasını yansıtıyor ve erken 2026 zaten aylık olarak keskin bir artış gösterdi. Kayıtlara geçen en büyük tek seferlik hırsızlık, 2024'te bir kurbandan 55,47 milyon dolarlık DAI çalınmasıyla gerçekleşti. Toplamlar ne olursa olsun, çalınan kripto para aynı şekilde çıkıyor: dakikalar içinde karıştırıcılar ve merkeziyetsiz borsalar aracılığıyla aklanıyor, bu yüzden neredeyse hiçbiri geri dönmüyor.
| Yıl | Tahliyeciler tarafından çalındı | Kurbanlar |
|---|---|---|
| 2023 | 295,5 milyon dolar | 324.000+ |
| 2024 | 494 milyon dolar | 332.000 |
| 2025 | 83,85 milyon dolar | 106.106 |
Ve mağdurların hepsi acemi değil. Mark Cuban, bir dolandırıcı tarafından yaklaşık 900.000 dolar kaybetti. Hatta Ethereum kurucu ortağı Vitalik Buterin'in X hesabı bile ele geçirildi ve takipçilerinden yaklaşık 700.000 dolar çalan sahte bir kripto para birimi oluşturuldu. Eğer bu durum onlara ulaşırsa, "Ben asla buna kanmam" çizgisi sandığınızdan daha ince olur.
Cüzdanı Boşaltan Bir Şeyin Uyarı İşaretleri
Cüzdanınızı boşaltacak kişilerin en belirgin işaretleri neredeyse hepsinin ortak bir talebi var: Hemen şimdi imzalayın. Bunları gördüğünüzde, yavaşlayın.
Tek bir satın alma işlemi istediğiniz halde sınırsız token hakkı isteyen bir uyarıya dikkat edin. Gaz ücreti almayan ve tam olarak okuyamadığınız bir mesaj gösteren imza isteğine karşı daha da dikkatli olun. Bu, klasik gazsız dolandırıcılık taktiğidir. "Şimdi talep et", "sınırlı sayıda" ve geri sayım yapan mesajları şans değil, baskı taktiği olarak değerlendirin. DM'lere veya Telegram gruplarına düşen herhangi bir bağlantıya güvenmeyin. Dolandırıcıların rutin olarak gerçek projeyi en üst sıra için geride bıraktığı sponsorlu arama reklamları aracılığıyla asla bir dApp'e erişmeyin. Ve her zaman tam alan adını kontrol edin, çünkü bir harfi değiştirilmiş benzer bir alan adı, sahte sitelerin en eski ve hala işe yarayan taktiğidir.
Cüzdanınızı Boşa Harcayan Şeylerden Nasıl Koruyabilirsiniz?
Her yeni güvenlik açığını takip etmenize gerek yok. İki sıkıcı alışkanlık neredeyse tüm kaynak kayıplarını kendi başlarına engeller.
Donanım cüzdanı ve geçici bir cüzdan kullanın.
Kripto paranızın büyük kısmını donanım cüzdanında tutun. Anahtar çevrimdışı kalır ve her işlem için cihaza fiziksel olarak dokunmanız gerekir, bu nedenle kötü amaçlı bir site elinizde donanım olmadan hiçbir şeye dokunamaz. Ardından, kripto para basımı, airdrop ve bilmediğiniz herhangi bir dApp için neredeyse boş bir ikinci "kullan at" cüzdan oluşturun. Kullan at cüzdan boşalırsa, birikimleriniz değil, öğle yemeği paranız gider. Ana cüzdanınızı rastgele bir Web3 sitesine bağlamak, bu suçu karlı kılan tek alışkanlıktır.
Her imzayı okuyun ve eskilerini iptal edin.
İkinci alışkanlık ise imzaladığınız metni okumaktır. Modern cüzdanlar ve simülasyon araçları, onaylamadan önce imzanın ne sağladığını açıkça belirtir. Bunları kullanın ve asla anlayamadığınız bir mesajı körü körüne imzalamayın. Ardından, artık ihtiyacınız olmayan onayları iptal edin. Bir iptal aracı, token'larınızı hala harcayabilecek her sözleşmeyi gösterir ve unuttuklarınızı iptal etmenize olanak tanıyarak, bir saldırganın aylar sonra kolayca geçebileceği kapıları kapatır. Bir site tanıdık gelmiyorsa, önce bir blok gezgininde sözleşmesine göz atın, çünkü sıfır geçmişe sahip yepyeni bir sözleşme klasik bir tuzaktır. 2021'de tıkladığınız sınırsız onay mı? Siz iptal edene kadar hala geçerli.
Cüzdanınızı Boşaltacak Bir Şey Sizi Vurursa Ne Yapmalısınız?
Böyle bir durum yaşanırsa, hız her şeydir. Sırayla çalışın. Saldırganın henüz ele geçirmediği her şeyi hemen yeni ve güvenli bir cüzdana taşıyın, çünkü genellikle geri kalanını da ele geçirmek için geri dönerler. Ardından, ele geçirilen adresteki tüm onayları iptal edin, böylece kalan hiçbir izin yeniden kullanılamaz. O cüzdanı tamamen kullanılamaz hale getirin ve bir daha asla kullanmayın. İşlem hash'lerini belgeleyin ve adresleri Chainabuse veya Scam Sniffer gibi bu altyapıyı haritalayan bir servise bildirin. Ve kurtarma konusunda kendinize karşı dürüst olun. Zincir içi transferler kesindir ve çalınan fonlar nadiren geri döner, bu nedenle asıl kazanç kanamayı hızla durdurmaktır.
Cüzdanınızı boşaltan bir cihaz anahtarlarınıza değil, imzanıza ihtiyaç duyar.
Gösterge panellerini ve kit isimlerini bir kenara bırakırsak, cüzdanınızı boşaltan bir uygulamanın elinde tek bir silah vardır: onayladığınız bir imza. Özel anahtarınızı alamaz, zinciri kıramaz ve siz onaylayana kadar tek bir kuruş bile hareket ettiremez. İyi haber de şu ki, karşı önlem de aynı derecede basit. Büyük miktarı soğuk depoda tutun, her "cüzdanı bağla" uyarısını anahtarlarınızı isteyen bir yabancı olarak görün ve imzalamadan önce izni okuyun. Bunu yaparsanız, milyar dolarlık bir sektör ekranınızda duvara toslar. Bu yüzden bir sonraki sefer ücretsiz bir darphane sizden imza atmanızı istediğinde, kendinize şu önemli soruyu sorun: Tam olarak neyi yetkilendiriyorum?
