Cüzdan Boşaltıcı Nedir? Bu Saldırılar Nasıl Çalışır ve Bunlardan Nasıl Korunulur?

Cüzdan Boşaltıcı Nedir? Bu Saldırılar Nasıl Çalışır ve Bunlardan Nasıl Korunulur?

|

|

Yazan

Yazan

walllet ekibi

walllet ekibi

Cüzdan Boşaltıcı Nedir? Nasıl Çalışır ve Nasıl Önlenir?

Çoğu cüzdan boşaltma saldırısında kurtarma ifadeniz (seed phrase) çalınmaz. Sizi kendi çıkış biletinizi imzalamaya ikna ederler.

Cüzdan boşaltıcı (wallet drainer), bir saldırganın tokenlerinizi veya NFT'lerinizi taşımasına izin veren bir işlemi, izni veya imzayı onaylamanız için sizi kandıran kötü amaçlı bir Web3 dolandırıcılık akışıdır. Genellikle kurtarma ifadenize ihtiyaç duymaz. Tehlikeli tek bir tıklama için güveninize, acele etmenize veya kafanızın karışmasına ihtiyaç duyar. Bu makalede cüzdan boşaltıcının ne olduğunu, boşaltıcı dolandırıcılıklarının onayları ve imzaları nasıl kullandığını, bir saldırıdan sonra ne yapılacağını ve daha net cüzdan kullanıcı deneyiminin (UX) riski nasıl azaltabileceğini öğreneceksiniz.

Özet (TL;DR)

  • Cüzdan boşaltıcı genellikle bir blokzincir hacklemesi değil, bir yetkilendirme dolandırıcılığıdır. Saldırgan, size zararlı bir şeyi onaylatarak amacına ulaşır. 

  • Yaygın yemler arasında sahte mint sayfaları, sahte airdrop'lar, kopya dApp'ler, sahte destek ekipleri ve aciliyet hissi yaratan geri sayım dilleri yer alır. 

  • En tehlikeli istekler genellikle cüzdan arayüzü belirsiz olduğunda yanlış anlaşılması kolay olan token onaylarını, NFT operatör onaylarını, izin (permit) tarzı imzaları veya Permit2 akışlarını içerir.

  • Kötü bir şeyi imzaladığınızı düşünüyorsanız hız çok önemlidir: etkileşimi durdurun, son onayları gözden geçirip iptal edin ve riskin hala devam ettiğini düşünüyorsanız kalan varlıkları başka bir yere taşıyın. 

  • walllet.com'un kurtarma ifadesiz tasarımı rutin kurtarma ifadesi riskini ortadan kaldırır ve ürün konumu daha net işlem istemlerini vurgular, ancak hiçbir cüzdan siz onayladıktan sonra kötü niyetli bir işlemi güvenli hale getiremez. 

Cüzdan boşaltıcı (wallet drainer) nedir?

Cüzdan boşaltıcı, kurban zararsız görünen bir şeyi onayladıktan sonra kripto cüzdanını boşaltmak için oluşturulmuş kötü amaçlı bir site, arayüz veya akıllı sözleşme akışıdır. Gözden kaçırılması kolay olan en önemli detay şudur: Saldırgan genellikle önce cüzdanı ele geçirmez, blokzinciri kırmaz veya kurtarma ifadesini çalmaz. Saldırgan, kullanıcının zarara yol açacak bir izni veya imzayı onaylamasını sağlar. 

İşte bu yüzden "cüzdanım hacklendi" teşhisi genellikle eksik bir tespittir. Bazen cüzdan klasik anlamda hiç hacklenmemiştir. Kullanıcı sahte bir mint sitesine bağlanmış, kötü amaçlı bir Permit veya Permit2 mesajı imzalamış, sınırsız token harcama izni vermiş ya da ne anlama geldiğini fark etmeden bir NFT koleksiyonu üzerinde setApprovalForAll izni vermiş olabilir.

Konuyu en basit şekilde zihninizde canlandırmak istiyorsanız şu tabloyu inceleyin:

Durum

Aslında ne oldu?

Saldırganın neye ihtiyacı vardı?

Neden önemli?

Cüzdan boşaltma saldırısı

Zararlı bir işlemi, onayı veya imzayı onayladınız

Sizin onayınıza

Varlıklar hızla ve genellikle otomatik olarak taşınabilir

Kurtarma ifadesi veya özel anahtar hırsızlığı

Saldırgan, kimlik bilgisi düzeyinde tam erişim elde etti

Gizli bilginize

Tüm cüzdan kalıcı olarak tehlikeye girmiş olabilir

Adres zehirlemesi (address poisoning)

Benzer görünümlü bir adrese fon gönderdiniz

Sizin kopyala-yapıştır hatanıza

Cüzdan "boşaltılmamıştır" ancak kayıp hissi aynıdır

Genel kimlik avı (phishing)

Sahte bir mesaj, site veya destek yetkilisi tarafından kandırıldınız

Güveninize

Kimlik avı genellikle cüzdan boşaltma saldırısının giriş kapısıdır

Bu ayrım önemlidir çünkü çözüm, hatanın türüne göre değişir. Boşaltma olayı genellikle onaylar ve izinlerle ilgilidir. Kurtarma ifadesi hırsızlığı ise tüm kimlik bilgilerinin tehlikeye girmesidir. Adres zehirlemesi ise yanlış yere gönderme sorunudur. Birbiriyle örtüşürler ama aynı şey değillerdir.

Cüzdan boşaltıcılar neden bu kadar etkili?

Cüzdan boşaltıcılar işe yarar çünkü kriptonun acımasız bir tasarım gerçeği vardır: blokzincir, geçerli görünen yetkilendirmeleri geçerli yetkilendirmeler olarak kabul eder. Yanlış bir şeyi onaylarsanız zincir durup acele edip etmediğinizi, kafanızın karışıp karışmadığını veya kandırılıp kandırılmadığınızı sormaz. walllet'in şartları bu konuyu net bir şekilde açıklamaktadır. Bir blokzincir işlemini onayladığınızda geri alınamaz bir talimat vermiş olursunuz; kötü amaçlı dApp'ler veya akıllı sözleşmeler ciddi kayıplara neden olabilir.

Why wallet drainers are so effective

Psikolojik yönü de teknik yönü kadar önemlidir. CISA'nın güvenlik kılavuzları; aciliyet, duygusal baskı, şüpheli bağlantılar ve güvenilir görünen taklitlerin klasik kimlik avı unsurları olduğu konusunda uyarıyor. Boşaltıcı sayfaları, Web3 maskesi altında tam olarak bu tarifi kullanır. Sayfa size bir airdrop süresinin dolmak üzere olduğunu, bir mint'in tükenmek üzere olduğunu, cüzdanınızın "doğrulanması" gerektiğini veya teknik desteğin "sahipliğinizi kanıtlamanızı" istediğini söyler. Teknik tuzak, insani bir zayıflık anından faydalanır.

Cüzdan boşaltıcılar kullanıcıları genellikle nasıl kandırır?

En yaygın boşaltma yöntemi çok karmaşık değildir. Otuz saniyeliğine gerçek gibi görünen sahte bir sitedir.

Sahte mint siteleri ve sahte airdrop talepleri

Sahte bir mint sayfası, sahte token talebi veya tanıdık bir dApp'in kopyası, kullanıcıdan imza almanın hala en kolay yollarından biridir. Kaspersky, boşaltıcıları yasal kripto deneyimlerini taklit eden ve ardından fonların dışarı aktarılmasına izin veren onaylar veya imzalar isteyen kötü amaçlı dApp'ler veya kimlik avı sayfaları olarak tanımlar.

Sahte destek ve sahte doğrulama

Diğer bir popüler yöntem ise sahte destektir. Bir mesaj cüzdanınızın risk altında olduğunu iddia eder, sahipliğinizi kanıtlamak için yeniden bağlanmanızı, doğrulamanızı, senkronize etmenizi veya imzalamanızı ister. walllet.com, temel cüzdan özelliklerini kullanmak için adınızı, kullanıcı adınızı, e-postanızı veya telefon numaranızı istemediğini ve walllet'in kurtarma ifadelerini, özel anahtarları veya geçiş anahtarı kimlik bilgilerini toplamadığını belirtir. Bu da beklenmeyen "doğrulama" akışlarının anında şüphe uyandırması gerektiği anlamına gelir.

Aciliyet, geri sayımlar ve fazla cazip ödüller

Boşaltıcılar hızlı ve düşünmeden hareket etmenizi ister. Sahte bir geri sayım, "son fırsat" mint işlemi, bir destek uyarısı veya sadece şimdi talep edebileceğiniz bir ödül. CISA'nın kimlik avı kılavuzu, acil bir dili ve duygusal olarak manipüle edici yaklaşımları temel bir uyarı işareti olarak özellikle belirtir. Web3 dünyasında bu aciliyet hissi genellikle hemen "Cüzdanı Bağla" butonunun yanında yer alır. 

Boşaltıcılar neden genellikle onaylara veya imzalara güvenir?

Kullanıcıların en çok bilmesi gereken kısım burasıdır. Bir cüzdan boşaltıcı genellikle şu üç şeyden birini elde ederek çalışır:

  1. Bir sözleşmenin sizin adınıza ERC-20 tokenleri harcamasına izin veren bir token onayı

  2. Bir sözleşmeye koleksiyon üzerinde operatör düzeyinde kontrol sağlayan bir NFT onayı (genellikle setApprovalForAll)

  3. Daha sonra izin (permit) tarzı mekanizmalar aracılığıyla bir onaya veya transfer akışına dönüştürülebilecek imzalı bir mesaj 

Why drainers often rely on approvals or signatures

Sınırsız onaylar ve kötü amaçlı imzalar

Geleneksel bir onay zincir üzerindedir (onchain). Bir harcayıcıyı onaylarsınız. Bu harcayıcı daha sonra verdiğiniz izne göre token çekebilir. Bu akışın kötü niyetli versiyonu geriye dönüp bakıldığında belirgindir ancak yanlış bir arayüzde görünmez: Sayfa "ödülü talep et" der, ancak onay aslında harcama haklarını devreder. Bu yüzden açık bırakılan onaylar tehlikelidir ve şüpheli olanların hızla iptal edilmesi hayati önem taşır.

Kötü amaçlı bir imza daha sinsidir çünkü kullanıcılar genellikle "bu sadece bir mesaj, işlem değil" diye düşünür. Bazen bu doğrudur. Bazen ise kesinlikle değildir. EIP-2612 standardı, token harcama yetkilerinin ayrı bir onay işlemi yerine imzalanmış veri formatıyla oluşturulmasını sağlayan permit işlevini getirdi. Uniswap'in Permit2 sistemi bu fikri daha fazla token ve akışa yayıyor. Dürüstçe kullanıldığında kullanıcı deneyimi için harikadır, ancak kötü niyetle kullanıldığında hazır bir tuzaktır. 

Bir mesajı imzalamak cüzdanınızı boşaltabilir mi?

Evet, bazen.

Basit bir giriş imzası ile token transferi aynı şey değildir. Ancak bazı imzalar "sadece giriş" değildir. İzin (permit) tarzı imzalar harcama haklarını yetkilendirebilir ve Permit2, eski iki aşamalı onay modeline gerek kalmadan zaman sınırlı veya paylaşımlı onay akışları sağlamak için kullanılabilir. Revoke.cash, kullanıcılar neyi imzaladıklarını anlamadıklarında Permit ve Permit2'nin kimlik avı riskini artırdığı konusunda açıkça uyarmaktadır. 

Bu nedenle asıl güvenlik sorusu "Bu bir işlem mi yoksa mesaj mı?" değildir. Asıl soru "Onaylarsam bu istek hangi yetkiyi devrediyor?" olmalıdır.

Bir cüzdan boşaltma saldırısı genellikle adım adım nasıl gerçekleşir?

İlk olarak, saldırgan önünüze yem koyar. Bu sahte bir mint, sahte bir destek mesajı, sahte bir çekiliş veya gerçek bir sitenin kopyası olabilir. Ardından cüzdanınızı bağlarsınız. Sonra site, anlattığı senaryoyla uyuşmayan bir imza veya onay ister. Siz onayladıktan sonra, boşaltıcı script veya kötü amaçlı sözleşme, varlıkları dışarı taşımak için verilen izni kullanır; bu genellikle o kadar hızlı olur ki durumu cüzdanınızın boşaldığını gördüğünüzde anlarsınız. 

How wallet drainers usually trick users

Korkutucu olan sadece hırsızlık değildir. Kullanıcıların onayladıklarını düşündükleri şey ile gerçekte onayladıkları şey arasındaki uyumsuzluktur. Bu uyumsuzluk, cüzdan kullanıcı deneyiminin (UX) sadece görsel bir detay olmaktan çıkıp temel bir güvenlik unsuru haline geldiği yerdir.

Cüzdanınız boşaltıldıysa ne yapmalısınız?

Bu bölümü dikkatlice okuyun ve gerekirse hızlıca uygulayın.

1) Şüpheli siteyle etkileşimi hemen kesin

Talebi tekrar denemeyin. "Bağlantıyı kes ve yeniden bağlan" seçeneklerine tıklamayın. Sitenin sunduğu hiçbir şeyi indirmeyin. Mesaj veya site şüpheli görünüyorsa tıklama dürtüsüne karşı koyun ve bunun yerine bilinen resmi kanallardan doğrulama yapın. 

2) Gerçekte neyi imzaladığınızı belirleyin

En son cüzdan hareketlerine bakın ve ilgili harcayıcıyı, sözleşmeyi veya izni tespit edin. Boşaltma olaylarında en yeni onaylar genellikle başlanacak en doğru yerdir. Şüpheli bir onay durumunda onayları yeniden eskiye doğru sıralamanız önerilir.

3) Öncelikle riskli onayları iptal edin

Kapıyı açık bırakma olasılığı en yüksek olan izinlerle başlayın: yeni ERC-20 onayları, NFT setApprovalForAll izinleri ve şüpheli siteye bağlı tüm Permit2 harcama yetkileri veya onayları. Permit2 kullandıysanız hem genel Permit2 onayının hem de alt harcayıcı onay akışının olabileceğini unutmayın.

4) Tehdit devam ediyorsa kalan varlıkları taşıyın

Cüzdanda hala tehlikeli izinlerin bulunduğundan şüpheleniyorsanız veya kimlik bilgilerinin ya da cihaz güvenliğinin tehlikede olabileceğini düşünüyorsanız, kalan varlıkları temiz bir cihazda doğrulanmış bir kurulum akışıyla kontrol ettiğiniz yeni oluşturulmuş bir cüzdana taşıyın. walllet'in kimlik avı önleme kılavuzu, gizli kurtarma bilgileri ifşa olduğunda yapılacak şeyin tartışmak değil, önlem almak olduğunu belirtir. Bu mantık, aktif bir boşaltıcının hala işlem yapma alanı olduğuna inandığınız durumlar için de geçerlidir. 

5) İzler silinmeden önce kanıtları kaydedin

Şüpheli alan adını, cüzdan adresini, işlem özetini (transaction hash), ekran görüntülerini ve varsa sahte destek mesajlarını saklayın. Akışa bir borsa veya merkezi hizmet dahil olduysa bunu hızlıca bildirin. Ne kadar çok iz saklarsanız, ileride analiz ve raporlama şansınız o kadar artar.

6) İkinci dolandırıcılık dalgasına dikkat edin

Bir hırsızlıktan sonra kurbanlar genellikle "kurtarma" vaat eden dolandırıcılar tarafından tekrar hedef alınır. walllet bu model hakkında uyarıyor; bu, kripto dünyasındaki en çirkin durumlardan biridir. Bir boşaltıcı varlıklarınızı alır, ardından sahte bir kurtarıcı umudunuzdan geriye kalanları almaya çalışır.

What to do if you think your wallet was drained

Bir boşaltma vakasından sonra aynı cüzdanı kullanmaya devam etmeli misiniz?

Bazen evet, genellikle hayır.

Sorun dar kapsamlı bir onay ise ve bunu hızlıca iptal ettiyseniz cüzdanı tamamen terk etmeniz gerekmeyebilir. Ancak neyin imzalandığından emin değilseniz, birden fazla onay söz konusuysa, cihazın güvenliği tehlikedeyse veya herhangi bir gizli bilgi ifşa olduysa temiz bir cüzdana geçmek genellikle en güvenli karardır. Amaç panik yaratmak değil, belirsizliği azaltmaktır. 

walllet.com'un öncelikle netliğe odaklanan yaklaşımı burada neden önemli?

İşte bu noktada walllet.com konunun tam merkezine oturuyor.

walllet, kullanıcıların hiç hata yapmadığını varsayarak boşaltma riskini çözmeye çalışmaz. Normal kripto düzenindeki en kötü hatalardan bazılarını ortadan kaldırmaya çalışır. Ürünü ve yardım içerikleri; kurtarma ifadesiz gözetimsiz cüzdan modelini, geçiş anahtarlarını (passkey), biyometrik verileri, donanım destekli anahtar korumasını ve işlem netliğini vurgular. Bu önemlidir çünkü birçok cüzdan kaybı blokzincir seviyesinde değil, insan arayüzü katmanında başlar.

Kurtarma ifadesiz tasarım en önemli kısımdır. walllet, özel anahtarların cihazın güvenli donanımı ve geçiş anahtarı sistemleriyle oluşturulup korunduğunu, temel cüzdanın kurtarma ifadenizi, özel anahtarınızı veya geçiş anahtarı bilgilerinizi toplamadığını belirtir. Bu durum; gizli ifade ifşası, ekran görüntüleri, sahte geri yükleme formları ve kimlik bilgisi isteyen sahte "destek ekipleri" etrafında dönen eski usul cüzdan tehlikelerini büyük ölçüde azaltır.

Netlik kısmı ise bir diğer önemli adımdır. walllet, insanların okuyabileceği işlem istemlerini ve şüpheli sözleşme uyarılarını sadece hoş bir tasarım olarak değil, güvenliğin bir parçası olarak görür. Doğru yaklaşım da budur. Kullanıcı "bağlan", "imzala", "onayla" ve "bu sözleşmeye tüm yetkiyi ver" arasındaki farkı anlayamadığında cüzdan boşaltıcılar bundan beslenir. Bir cüzdan onaydan önce amacı, harcayacak olan tarafı, varlığı ve maliyeti ne kadar net açıklarsa, dolandırıcıların gizlenebileceği o kadar az karanlık nokta kalır.

walllet gözetimsizdir (non-custodial). Tamamlanmış blokzincir işlemlerini geri alamaz, anahtarlarınızı sizin için kurtaramaz ve her üçüncü taraf dApp isteminin güvenli olduğunu garanti edemez. Daha iyi bir cüzdan kullanıcı deneyimi (UX) sadece olasılıkları iyileştirir, gerçekleri değiştirmez.

Bu kombinasyon, markayı zorla öne çıkarmadan walllet'i bu konuyla ilgili hale getiren şeydir. Kurtarma ifadesiz gözetimsiz kullanım, kelime grubu riskini azaltır. Geçiş anahtarları ve biyometrik veriler rutin kimlik bilgisi riskini azaltır. Daha net yönlendirmeler ise körü körüne imza atma riskini azaltır. Yine de ürün, gözetimsiz cüzdan yönetiminin gerçekliğini korur: Kontrol sizdedir, bu da yanlış bir şeyi onayladığınız ana kadar büyük bir güçtür. 

Unutulmaması gereken pratik kural

Bir cüzdan boşaltıcının amacına ulaşması için sadece tek bir tıklama boyunca normal görünmesi yeterlidir. Eğer bir sayfa neyi onayladığınızı, kime izin verdiğinizi, hangi varlığın etkilendiğini ve bu işlemin neden gerekli olduğunu net bir şekilde açıklayamıyorsa, bu basit bir detay değildir. Bu en büyük uyarı işaretidir.

walllet.com ile kurtarma ifadesiz bir cüzdan oluşturun; geçiş anahtarları, biyometrik veriler ve körü körüne imzalamaya daha az alan bırakan, ilk andan itibaren daha net hissettiren bir gözetimsiz cüzdan deneyimi yaşayın.

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Token veya NFT almak cüzdanımı boşaltabilir mi?

Cüzdan boşaltıcılar kurtarma ifademi bilmeden de çalışabilir mi?

Mesaj imzalamak cüzdanımı boşaltabilir mi?

Bir cüzdan boşaltma vakasından sonra ilk olarak neyi iptal etmeliyim?

Cüzdanım boşaltıldıktan sonra kalan bakiyeyi yeni bir cüzdana aktarmalı mıyım?

walllet.com kullanıcıların şüpheli yönlendirmeleri daha iyi anlamasına yardımcı olabilir mi?

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Token veya NFT almak cüzdanımı boşaltabilir mi?

Cüzdan boşaltıcılar kurtarma ifademi bilmeden de çalışabilir mi?

Mesaj imzalamak cüzdanımı boşaltabilir mi?

Bir cüzdan boşaltma vakasından sonra ilk olarak neyi iptal etmeliyim?

Cüzdanım boşaltıldıktan sonra kalan bakiyeyi yeni bir cüzdana aktarmalı mıyım?

walllet.com kullanıcıların şüpheli yönlendirmeleri daha iyi anlamasına yardımcı olabilir mi?

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Token veya NFT almak cüzdanımı boşaltabilir mi?

Cüzdan boşaltıcılar kurtarma ifademi bilmeden de çalışabilir mi?

Mesaj imzalamak cüzdanımı boşaltabilir mi?

Bir cüzdan boşaltma vakasından sonra ilk olarak neyi iptal etmeliyim?

Cüzdanım boşaltıldıktan sonra kalan bakiyeyi yeni bir cüzdana aktarmalı mıyım?

walllet.com kullanıcıların şüpheli yönlendirmeleri daha iyi anlamasına yardımcı olabilir mi?

Arka Plan Şekli

Mükemmel

lll

kbb

deneyim

walllet'inizi saniyeler içinde
oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Arka Plan Şekli
Arka Plan Şekli

Saniyeler içinde
walllet'inizi oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Mükemmel deneyim

Arka Plan Şekli
Arka Plan Şekli

Saniyeler içinde
walllet'inizi oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Mükemmel deneyim