
Çoğu cüzdan boşaltma saldırısında kurtarma ifadeniz (seed phrase) çalınmaz. Sizi kendi çıkış biletinizi imzalamaya ikna ederler.
Cüzdan boşaltıcı (wallet drainer), bir saldırganın tokenlerinizi veya NFT'lerinizi taşımasına izin veren bir işlemi, izni veya imzayı onaylamanız için sizi kandıran kötü amaçlı bir Web3 dolandırıcılık akışıdır. Genellikle kurtarma ifadenize ihtiyaç duymaz. Tehlikeli tek bir tıklama için güveninize, acele etmenize veya kafanızın karışmasına ihtiyaç duyar. Bu makalede cüzdan boşaltıcının ne olduğunu, boşaltıcı dolandırıcılıklarının onayları ve imzaları nasıl kullandığını, bir saldırıdan sonra ne yapılacağını ve daha net cüzdan kullanıcı deneyiminin (UX) riski nasıl azaltabileceğini öğreneceksiniz.
Özet (TL;DR)
Cüzdan boşaltıcı genellikle bir blokzincir hacklemesi değil, bir yetkilendirme dolandırıcılığıdır. Saldırgan, size zararlı bir şeyi onaylatarak amacına ulaşır.
Yaygın yemler arasında sahte mint sayfaları, sahte airdrop'lar, kopya dApp'ler, sahte destek ekipleri ve aciliyet hissi yaratan geri sayım dilleri yer alır.
En tehlikeli istekler genellikle cüzdan arayüzü belirsiz olduğunda yanlış anlaşılması kolay olan token onaylarını, NFT operatör onaylarını, izin (permit) tarzı imzaları veya Permit2 akışlarını içerir.
Kötü bir şeyi imzaladığınızı düşünüyorsanız hız çok önemlidir: etkileşimi durdurun, son onayları gözden geçirip iptal edin ve riskin hala devam ettiğini düşünüyorsanız kalan varlıkları başka bir yere taşıyın.
walllet.com'un kurtarma ifadesiz tasarımı rutin kurtarma ifadesi riskini ortadan kaldırır ve ürün konumu daha net işlem istemlerini vurgular, ancak hiçbir cüzdan siz onayladıktan sonra kötü niyetli bir işlemi güvenli hale getiremez.
Cüzdan boşaltıcı (wallet drainer) nedir?
Cüzdan boşaltıcı, kurban zararsız görünen bir şeyi onayladıktan sonra kripto cüzdanını boşaltmak için oluşturulmuş kötü amaçlı bir site, arayüz veya akıllı sözleşme akışıdır. Gözden kaçırılması kolay olan en önemli detay şudur: Saldırgan genellikle önce cüzdanı ele geçirmez, blokzinciri kırmaz veya kurtarma ifadesini çalmaz. Saldırgan, kullanıcının zarara yol açacak bir izni veya imzayı onaylamasını sağlar.
İşte bu yüzden "cüzdanım hacklendi" teşhisi genellikle eksik bir tespittir. Bazen cüzdan klasik anlamda hiç hacklenmemiştir. Kullanıcı sahte bir mint sitesine bağlanmış, kötü amaçlı bir Permit veya Permit2 mesajı imzalamış, sınırsız token harcama izni vermiş ya da ne anlama geldiğini fark etmeden bir NFT koleksiyonu üzerinde setApprovalForAll izni vermiş olabilir.
Konuyu en basit şekilde zihninizde canlandırmak istiyorsanız şu tabloyu inceleyin:
Durum | Aslında ne oldu? | Saldırganın neye ihtiyacı vardı? | Neden önemli? |
Cüzdan boşaltma saldırısı | Zararlı bir işlemi, onayı veya imzayı onayladınız | Sizin onayınıza | Varlıklar hızla ve genellikle otomatik olarak taşınabilir |
Kurtarma ifadesi veya özel anahtar hırsızlığı | Saldırgan, kimlik bilgisi düzeyinde tam erişim elde etti | Gizli bilginize | Tüm cüzdan kalıcı olarak tehlikeye girmiş olabilir |
Adres zehirlemesi (address poisoning) | Benzer görünümlü bir adrese fon gönderdiniz | Sizin kopyala-yapıştır hatanıza | Cüzdan "boşaltılmamıştır" ancak kayıp hissi aynıdır |
Genel kimlik avı (phishing) | Sahte bir mesaj, site veya destek yetkilisi tarafından kandırıldınız | Güveninize | Kimlik avı genellikle cüzdan boşaltma saldırısının giriş kapısıdır |
Bu ayrım önemlidir çünkü çözüm, hatanın türüne göre değişir. Boşaltma olayı genellikle onaylar ve izinlerle ilgilidir. Kurtarma ifadesi hırsızlığı ise tüm kimlik bilgilerinin tehlikeye girmesidir. Adres zehirlemesi ise yanlış yere gönderme sorunudur. Birbiriyle örtüşürler ama aynı şey değillerdir.
Cüzdan boşaltıcılar neden bu kadar etkili?
Cüzdan boşaltıcılar işe yarar çünkü kriptonun acımasız bir tasarım gerçeği vardır: blokzincir, geçerli görünen yetkilendirmeleri geçerli yetkilendirmeler olarak kabul eder. Yanlış bir şeyi onaylarsanız zincir durup acele edip etmediğinizi, kafanızın karışıp karışmadığını veya kandırılıp kandırılmadığınızı sormaz. walllet'in şartları bu konuyu net bir şekilde açıklamaktadır. Bir blokzincir işlemini onayladığınızda geri alınamaz bir talimat vermiş olursunuz; kötü amaçlı dApp'ler veya akıllı sözleşmeler ciddi kayıplara neden olabilir.

Psikolojik yönü de teknik yönü kadar önemlidir. CISA'nın güvenlik kılavuzları; aciliyet, duygusal baskı, şüpheli bağlantılar ve güvenilir görünen taklitlerin klasik kimlik avı unsurları olduğu konusunda uyarıyor. Boşaltıcı sayfaları, Web3 maskesi altında tam olarak bu tarifi kullanır. Sayfa size bir airdrop süresinin dolmak üzere olduğunu, bir mint'in tükenmek üzere olduğunu, cüzdanınızın "doğrulanması" gerektiğini veya teknik desteğin "sahipliğinizi kanıtlamanızı" istediğini söyler. Teknik tuzak, insani bir zayıflık anından faydalanır.
Cüzdan boşaltıcılar kullanıcıları genellikle nasıl kandırır?
En yaygın boşaltma yöntemi çok karmaşık değildir. Otuz saniyeliğine gerçek gibi görünen sahte bir sitedir.
Sahte mint siteleri ve sahte airdrop talepleri
Sahte bir mint sayfası, sahte token talebi veya tanıdık bir dApp'in kopyası, kullanıcıdan imza almanın hala en kolay yollarından biridir. Kaspersky, boşaltıcıları yasal kripto deneyimlerini taklit eden ve ardından fonların dışarı aktarılmasına izin veren onaylar veya imzalar isteyen kötü amaçlı dApp'ler veya kimlik avı sayfaları olarak tanımlar.
Sahte destek ve sahte doğrulama
Diğer bir popüler yöntem ise sahte destektir. Bir mesaj cüzdanınızın risk altında olduğunu iddia eder, sahipliğinizi kanıtlamak için yeniden bağlanmanızı, doğrulamanızı, senkronize etmenizi veya imzalamanızı ister. walllet.com, temel cüzdan özelliklerini kullanmak için adınızı, kullanıcı adınızı, e-postanızı veya telefon numaranızı istemediğini ve walllet'in kurtarma ifadelerini, özel anahtarları veya geçiş anahtarı kimlik bilgilerini toplamadığını belirtir. Bu da beklenmeyen "doğrulama" akışlarının anında şüphe uyandırması gerektiği anlamına gelir.
Aciliyet, geri sayımlar ve fazla cazip ödüller
Boşaltıcılar hızlı ve düşünmeden hareket etmenizi ister. Sahte bir geri sayım, "son fırsat" mint işlemi, bir destek uyarısı veya sadece şimdi talep edebileceğiniz bir ödül. CISA'nın kimlik avı kılavuzu, acil bir dili ve duygusal olarak manipüle edici yaklaşımları temel bir uyarı işareti olarak özellikle belirtir. Web3 dünyasında bu aciliyet hissi genellikle hemen "Cüzdanı Bağla" butonunun yanında yer alır.
Boşaltıcılar neden genellikle onaylara veya imzalara güvenir?
Kullanıcıların en çok bilmesi gereken kısım burasıdır. Bir cüzdan boşaltıcı genellikle şu üç şeyden birini elde ederek çalışır:
Bir sözleşmenin sizin adınıza ERC-20 tokenleri harcamasına izin veren bir token onayı
Bir sözleşmeye koleksiyon üzerinde operatör düzeyinde kontrol sağlayan bir NFT onayı (genellikle
setApprovalForAll)Daha sonra izin (permit) tarzı mekanizmalar aracılığıyla bir onaya veya transfer akışına dönüştürülebilecek imzalı bir mesaj

Sınırsız onaylar ve kötü amaçlı imzalar
Geleneksel bir onay zincir üzerindedir (onchain). Bir harcayıcıyı onaylarsınız. Bu harcayıcı daha sonra verdiğiniz izne göre token çekebilir. Bu akışın kötü niyetli versiyonu geriye dönüp bakıldığında belirgindir ancak yanlış bir arayüzde görünmez: Sayfa "ödülü talep et" der, ancak onay aslında harcama haklarını devreder. Bu yüzden açık bırakılan onaylar tehlikelidir ve şüpheli olanların hızla iptal edilmesi hayati önem taşır.
Kötü amaçlı bir imza daha sinsidir çünkü kullanıcılar genellikle "bu sadece bir mesaj, işlem değil" diye düşünür. Bazen bu doğrudur. Bazen ise kesinlikle değildir. EIP-2612 standardı, token harcama yetkilerinin ayrı bir onay işlemi yerine imzalanmış veri formatıyla oluşturulmasını sağlayan permit işlevini getirdi. Uniswap'in Permit2 sistemi bu fikri daha fazla token ve akışa yayıyor. Dürüstçe kullanıldığında kullanıcı deneyimi için harikadır, ancak kötü niyetle kullanıldığında hazır bir tuzaktır.
Bir mesajı imzalamak cüzdanınızı boşaltabilir mi?
Evet, bazen.
Basit bir giriş imzası ile token transferi aynı şey değildir. Ancak bazı imzalar "sadece giriş" değildir. İzin (permit) tarzı imzalar harcama haklarını yetkilendirebilir ve Permit2, eski iki aşamalı onay modeline gerek kalmadan zaman sınırlı veya paylaşımlı onay akışları sağlamak için kullanılabilir. Revoke.cash, kullanıcılar neyi imzaladıklarını anlamadıklarında Permit ve Permit2'nin kimlik avı riskini artırdığı konusunda açıkça uyarmaktadır.
Bu nedenle asıl güvenlik sorusu "Bu bir işlem mi yoksa mesaj mı?" değildir. Asıl soru "Onaylarsam bu istek hangi yetkiyi devrediyor?" olmalıdır.
Bir cüzdan boşaltma saldırısı genellikle adım adım nasıl gerçekleşir?
İlk olarak, saldırgan önünüze yem koyar. Bu sahte bir mint, sahte bir destek mesajı, sahte bir çekiliş veya gerçek bir sitenin kopyası olabilir. Ardından cüzdanınızı bağlarsınız. Sonra site, anlattığı senaryoyla uyuşmayan bir imza veya onay ister. Siz onayladıktan sonra, boşaltıcı script veya kötü amaçlı sözleşme, varlıkları dışarı taşımak için verilen izni kullanır; bu genellikle o kadar hızlı olur ki durumu cüzdanınızın boşaldığını gördüğünüzde anlarsınız.

Korkutucu olan sadece hırsızlık değildir. Kullanıcıların onayladıklarını düşündükleri şey ile gerçekte onayladıkları şey arasındaki uyumsuzluktur. Bu uyumsuzluk, cüzdan kullanıcı deneyiminin (UX) sadece görsel bir detay olmaktan çıkıp temel bir güvenlik unsuru haline geldiği yerdir.
Cüzdanınız boşaltıldıysa ne yapmalısınız?
Bu bölümü dikkatlice okuyun ve gerekirse hızlıca uygulayın.
1) Şüpheli siteyle etkileşimi hemen kesin
Talebi tekrar denemeyin. "Bağlantıyı kes ve yeniden bağlan" seçeneklerine tıklamayın. Sitenin sunduğu hiçbir şeyi indirmeyin. Mesaj veya site şüpheli görünüyorsa tıklama dürtüsüne karşı koyun ve bunun yerine bilinen resmi kanallardan doğrulama yapın.
2) Gerçekte neyi imzaladığınızı belirleyin
En son cüzdan hareketlerine bakın ve ilgili harcayıcıyı, sözleşmeyi veya izni tespit edin. Boşaltma olaylarında en yeni onaylar genellikle başlanacak en doğru yerdir. Şüpheli bir onay durumunda onayları yeniden eskiye doğru sıralamanız önerilir.
3) Öncelikle riskli onayları iptal edin
Kapıyı açık bırakma olasılığı en yüksek olan izinlerle başlayın: yeni ERC-20 onayları, NFT setApprovalForAll izinleri ve şüpheli siteye bağlı tüm Permit2 harcama yetkileri veya onayları. Permit2 kullandıysanız hem genel Permit2 onayının hem de alt harcayıcı onay akışının olabileceğini unutmayın.
4) Tehdit devam ediyorsa kalan varlıkları taşıyın
Cüzdanda hala tehlikeli izinlerin bulunduğundan şüpheleniyorsanız veya kimlik bilgilerinin ya da cihaz güvenliğinin tehlikede olabileceğini düşünüyorsanız, kalan varlıkları temiz bir cihazda doğrulanmış bir kurulum akışıyla kontrol ettiğiniz yeni oluşturulmuş bir cüzdana taşıyın. walllet'in kimlik avı önleme kılavuzu, gizli kurtarma bilgileri ifşa olduğunda yapılacak şeyin tartışmak değil, önlem almak olduğunu belirtir. Bu mantık, aktif bir boşaltıcının hala işlem yapma alanı olduğuna inandığınız durumlar için de geçerlidir.
5) İzler silinmeden önce kanıtları kaydedin
Şüpheli alan adını, cüzdan adresini, işlem özetini (transaction hash), ekran görüntülerini ve varsa sahte destek mesajlarını saklayın. Akışa bir borsa veya merkezi hizmet dahil olduysa bunu hızlıca bildirin. Ne kadar çok iz saklarsanız, ileride analiz ve raporlama şansınız o kadar artar.
6) İkinci dolandırıcılık dalgasına dikkat edin
Bir hırsızlıktan sonra kurbanlar genellikle "kurtarma" vaat eden dolandırıcılar tarafından tekrar hedef alınır. walllet bu model hakkında uyarıyor; bu, kripto dünyasındaki en çirkin durumlardan biridir. Bir boşaltıcı varlıklarınızı alır, ardından sahte bir kurtarıcı umudunuzdan geriye kalanları almaya çalışır.

Bir boşaltma vakasından sonra aynı cüzdanı kullanmaya devam etmeli misiniz?
Bazen evet, genellikle hayır.
Sorun dar kapsamlı bir onay ise ve bunu hızlıca iptal ettiyseniz cüzdanı tamamen terk etmeniz gerekmeyebilir. Ancak neyin imzalandığından emin değilseniz, birden fazla onay söz konusuysa, cihazın güvenliği tehlikedeyse veya herhangi bir gizli bilgi ifşa olduysa temiz bir cüzdana geçmek genellikle en güvenli karardır. Amaç panik yaratmak değil, belirsizliği azaltmaktır.
walllet.com'un öncelikle netliğe odaklanan yaklaşımı burada neden önemli?
İşte bu noktada walllet.com konunun tam merkezine oturuyor.
walllet, kullanıcıların hiç hata yapmadığını varsayarak boşaltma riskini çözmeye çalışmaz. Normal kripto düzenindeki en kötü hatalardan bazılarını ortadan kaldırmaya çalışır. Ürünü ve yardım içerikleri; kurtarma ifadesiz gözetimsiz cüzdan modelini, geçiş anahtarlarını (passkey), biyometrik verileri, donanım destekli anahtar korumasını ve işlem netliğini vurgular. Bu önemlidir çünkü birçok cüzdan kaybı blokzincir seviyesinde değil, insan arayüzü katmanında başlar.
Kurtarma ifadesiz tasarım en önemli kısımdır. walllet, özel anahtarların cihazın güvenli donanımı ve geçiş anahtarı sistemleriyle oluşturulup korunduğunu, temel cüzdanın kurtarma ifadenizi, özel anahtarınızı veya geçiş anahtarı bilgilerinizi toplamadığını belirtir. Bu durum; gizli ifade ifşası, ekran görüntüleri, sahte geri yükleme formları ve kimlik bilgisi isteyen sahte "destek ekipleri" etrafında dönen eski usul cüzdan tehlikelerini büyük ölçüde azaltır.
Netlik kısmı ise bir diğer önemli adımdır. walllet, insanların okuyabileceği işlem istemlerini ve şüpheli sözleşme uyarılarını sadece hoş bir tasarım olarak değil, güvenliğin bir parçası olarak görür. Doğru yaklaşım da budur. Kullanıcı "bağlan", "imzala", "onayla" ve "bu sözleşmeye tüm yetkiyi ver" arasındaki farkı anlayamadığında cüzdan boşaltıcılar bundan beslenir. Bir cüzdan onaydan önce amacı, harcayacak olan tarafı, varlığı ve maliyeti ne kadar net açıklarsa, dolandırıcıların gizlenebileceği o kadar az karanlık nokta kalır.
walllet gözetimsizdir (non-custodial). Tamamlanmış blokzincir işlemlerini geri alamaz, anahtarlarınızı sizin için kurtaramaz ve her üçüncü taraf dApp isteminin güvenli olduğunu garanti edemez. Daha iyi bir cüzdan kullanıcı deneyimi (UX) sadece olasılıkları iyileştirir, gerçekleri değiştirmez.
Bu kombinasyon, markayı zorla öne çıkarmadan walllet'i bu konuyla ilgili hale getiren şeydir. Kurtarma ifadesiz gözetimsiz kullanım, kelime grubu riskini azaltır. Geçiş anahtarları ve biyometrik veriler rutin kimlik bilgisi riskini azaltır. Daha net yönlendirmeler ise körü körüne imza atma riskini azaltır. Yine de ürün, gözetimsiz cüzdan yönetiminin gerçekliğini korur: Kontrol sizdedir, bu da yanlış bir şeyi onayladığınız ana kadar büyük bir güçtür.
Unutulmaması gereken pratik kural
Bir cüzdan boşaltıcının amacına ulaşması için sadece tek bir tıklama boyunca normal görünmesi yeterlidir. Eğer bir sayfa neyi onayladığınızı, kime izin verdiğinizi, hangi varlığın etkilendiğini ve bu işlemin neden gerekli olduğunu net bir şekilde açıklayamıyorsa, bu basit bir detay değildir. Bu en büyük uyarı işaretidir.
walllet.com ile kurtarma ifadesiz bir cüzdan oluşturun; geçiş anahtarları, biyometrik veriler ve körü körüne imzalamaya daha az alan bırakan, ilk andan itibaren daha net hissettiren bir gözetimsiz cüzdan deneyimi yaşayın.