ONAY TUZAĞI: TOKEN İZİN DOLANDIRICILIĞI
Kripto dünyasındaki saldırı ve dolandırıcılık vakaları genellikle anlık oluşan güvenlik açıklarından yararlanırken bazı dolandırıcılık vakalarıysa bir Truva atı gibi sinsice bekleyerek gerçekleşir. Token izni (Approve) dolandırıcılığı tam olarak bu kategoriye girmektedir.
TOKEN İZNİ (APPROVE) NEDİR?
Bir DeFi (merkeziyetsiz finans) platformunda işlem yaptığınızda ister merkeziyetsiz bir borsada token takas edin, ister bir NFT markette alım satım yapın, ister likidite havuzuna katılın, cüzdanınız size bir onay penceresi gösterir. Bu pencerede, sizden swap işlemi ya da alım satım işlemine konu olan akıllı sözleşmenin cüzdanınızdaki belli tokenlara erişim ve taşıma izni talep edilebilir.
Eğer bu izni onaylar yani token onayını verirseniz dApp(Merkeziyetsiz Uygulama)'ler sizin adınıza bir vekil gibi davranarak token erişimi ve taşımaya izin verir. İşin ilginç ve bir o kadar da tehlikeli yanı bu onay mekanizması olmadan DeFi ekosistemi çalışmamaktadır. İşte sorun da tam olarak bu noktada ortaya çıkmaktadır.
SINIRSIZ ONAY: KONFOR MU, TUZAK MI?
Pek çok dApp varsayılan olarak sınırsız onay talep eder. 100 USDT taşımak için izin istemek yerine, sonsuza dek sınırsız USDT taşımak için izin ister. Bunun nedeni kullanıcı kolaylığı ve daha az işlem maliyetidir. Bu seçeneği bir kez onaylarsanız bir daha onaylamanız da gerekmez.
Ne var ki dApp bağlantısını kesseniz bile vermiş olduğunuz bu vekalet sayesinde token onayları blokzincirde aktif kalmaya devam eder. Aktif onaylar, açıkça iptal edilmediği sürece onaylanan akıllı sözleşme tarafından her an kullanılabilir.
Kısacası iki yıl önce kullandığınız ve artık hatırlamadığınız bir platformun akıllı sözleşmesi bugün hala cüzdanınızdaki tüm tokenları çekme iznine sahip olabilir.
SALDIRI NASIL GERÇEKLEŞİYOR?
Token izni saldırılarında dolandırıcılar genellikle aşağıdaki üç yöntemi kullanır:
SAHTE DEFİ SİTESİ: Dolandırıcı, gerçek bir platforma birebir benzeyen sahte bir site oluşturur. Kullanıcı cüzdanını bağlayıp onay verdiği anda dolandırıcının sözleşmesine sınırsız token erişimi hakkı tanınmış olur. Bu zaaftan yararlanan dolandırıcı cüzdanı saniyeler içinde boşaltır.
SAHTE AİRDROP VE NFT MİNT: Ücretsiz token veya nft vaadi içeren bir bağlantıya tıklanır. Cüzdanı bağlayıp işlemi onayladığınız an aslında bir akıllı sözleşmeye cüzdanınızdaki tüm varlıkları çekme yetkisi vermiş olursunuz. Özellikle yazışma programlarında özel mesajla bu tip linkler, bilinmeyen kişiler tarafından gönderilmektedir.
GECİKMİŞ SALDIRI: Bir kullanıcı iki yıl önce imzaladığı kötü amaçlı bir işlem nedeniyle Ledger donanım cüzdanından 10 BTC ve 1,5 milyon dolar değerinde NFT kaybetti. Bu, kimlik avı saldırılarının her zaman anlık olmadığını ama eşit derecede tehlikeli olduğunu gösteriyor. Aynı zamanda bu saldırı, yetki verildiği taktirde donanım cüzdanından dahi token izni dolandırıcılığı yapılabileceğini ortaya koyuyor.
RAKAMLAR NE DİYOR?
Token izni dolandırıcılığı, kripto dünyasının en hızlı büyüyen tehdit kategorileri arasında yer almaktadır. Chainalysis 2024 Kripto Suç Raporu'na göre onay tabanlı kimlik avı ve dolandırıcılıklar yalnızca 2024 yılında 200 milyon doların üzerinde kayba neden oldu. Üstelik bu saldırılar geleneksel bilgisayar korsanlığının aksine özel anahtarınızı çalmaya gerek duymaz yalnızca sizin kendi elinizle imzaladığınız bir onayı kullanır. 2025'in yalnızca ilk yarısında ise güvenlik firmaları 300'den fazla olayda 2,4 milyar doların üzerinde kripto çalındığını kaydetti; bu rakam 2024'ün tüm yılını henüz yarı yılda geride
bırakmıştı. Ocak 2025'te sahte bir Arbitrum yönetişim önerisi Twitter'da dolaşıma girdi. Bağlantıya tıklayarak "oy kullanan" kullanıcılar aslında bir cüzdan boşaltma sözleşmesine onay imzalamış oldu ve dolandırıcılık ortaya çıkmadan önce 8 milyon dolar çalındı.
Henüz tamamı yayınlanmayan 2025 ve 2026 yılı token izi dolandırıcılıklarında özellikle yapay zekanın kullanımının artması nedeniyle vaka sayısının artması beklenmektedir.
KENDİNİZİ NASIL KORURSUNUZ?
1. Onay miktarını sınırlayın:
İşlem başına ihtiyacınız kadar onay verin. Sınırsız onay yerine tam ihtiyaç duyduğunuz miktarı onaylayın.
2. Onaylarınızı düzenli olarak denetleyin:
Aktif onay yönetim sitelerinden yararlanın. Cüzdan adresinizi girerek tüm aktif onayları görebilir ve gereksiz olanları iptal edebilirsiniz. Etherscan'ın Token Approval Checker aracı bu konuda yardımcı olabilecek önde gelen sitelerden biridir. Her ağ için ayrı scan siteleri bulunmaktadır, diğer ağlar için ayrı bir denetleme yapın.
3. Cüzdanı bağlantısını kesmek yeterli değildir:
Cüzdanınızı bir siteden ayırdığınızda yalnızca o sitenin adresinizi görmesi engellenir. Onaylarınız ise aktif kalmaya devam eder.
4. Bilinmeyen sitelere cüzdan bağlamayın:
Ücretsiz token, airdrop veya NFT mint vaadi içeren her bağlantıya şüpheyle yaklaşın. Siteye girmeden önce domain adresini dikkatlice kontrol edin.
5. İmzaladığınız işlemi okuyun:
Cüzdanınız bir onay penceresi gösterdiğinde "Approve" veya "SetApprovalForAll" gibi ifadeler görüyorsanız ve beklediğiniz işlem bu değilse hemen reddedin.
Son Söz
DeFi ekosistemiyle etkileşime geçmek için token onayı vermek kaçınılmazdır. Ancak verilen her onayı takip etmek, düzenli olarak denetlemek ve gereksiz izinleri iptal etmek cüzdan güvenliğinin temel alışkanlıkları arasında yer almalıdır. Cüzdanınızı ne sıklıkla kontrol ediyorsanız onaylarınızı da o sıklıkla gözden geçirin. Unutmayın ki blokzincirde iz bırakmayan tehdit yoktur, ama fark edilmeyen her iz dolandırıcı için açık bir davetiyeye dönüşür.
Yasal Uyarı
Burada yer alan yatırım bilgi, yorum ve tavsiyeleri yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihleri dikkate alınarak kişiye özel sunulmaktadır. Burada yer alan yorum ve tavsiyeler ise genel niteliktedir. Bu tavsiyeler mali durumunuz ile risk ve getiri tercihlerinize uygun olmayabilir. Bu nedenle, sadece burada yer alan bilgilere dayanılarak kripto varlık alım satımı veya yatırım kararı verilmesi beklentilerinize uygun sonuçlar doğurmayabilir.
Bu bilgi, rapor, yorum ve tavsiyelerin tarafınızla paylaşılması, bunlara herhangi bir platformdan erişim sağlamanız veya bunları başka bir yolla edinmeniz, "Coinpara" ile aranızda bir yatırım danışmanlığı sözleşmesi kurulduğu veya böyle bir ilişkinin kurulması için tarafınıza teklif yapıldığı anlamına katiyen gelmeyecektir.
Bilgi, rapor ve yorumlarda yer alan hiçbir ifade veya değerlendirme hukuki, vergisel veya finansal danışmanlık niteliğinde değildir ve bu niteliği sahip olacak şekilde yorumlanamaz.