İçindekiler
- 1 Yatırımcılar İçin NFT Güvenlik Riskleri
- 1.1 1. Reentrancy Saldırısı
- 1.2 2. Teknik Destek Dolandırıcılığı
- 1.3 3. Pazar Yeri Hacki
- 1.4 4. Hizmet Engelleme Saldırısı
- 1.5 5. Rug-Pull Dolandırıcılığı
- 1.6 6. Orakel Manipülasyonu
- 1.7 7. Sahte NFT’ler
- 1.8 8. Phishing Saldırısı
- 1.9 9. Dolandırıcı Pazar
- 1.10 10. Pump-and-Dump Dolandırıcılığı
- 1.11 11. Dijital Cüzdan Zayıflıkları
- 1.12 NFT Yatırımcıları Siber Tehditlere Karşı Dikkatli Olmalı
Yatırımcılar İçin NFT Güvenlik Riskleri
Bir non-fungible token (NFT) güvencesi sağlamak iyi bir fikir gibi görünebilir, ancak bu durum alıcılar için bazı siber güvenlik riskleri barındırır. Bu alternatif yatırım türüyle ilgilenen herkesin karşı karşıya olduğu siber tehditleri anlaması önemlidir.
1. Reentrancy Saldırısı
Reentrancy saldırısı, akıllı kontratları sonsuz döngülere zorlayarak bir güvenlik açığını kullanır. Bu kendi kendine çalışan anlaşmalar emredici olarak yürütülür — yani her kod satırı bir sonraki satıra geçmeden önce tam olarak yürütülmelidir — bu nedenle harici çağrılar yaparken kontrolü sorgusuz sualsiz devrederler.
Eğer çağrılan kontrat kötü niyetli ise, yinelemeli geri aramalar yapabilir. Çağıran kontrat, çağrısı geri dönene kadar kod yürütmesini durdurmak zorunda olduğundan, orijinal kod satırını güncellenmiş bakiyeyi dikkate almadan tekrar tekrar yürütmek zorunda kalır. Kötü niyetli kişiler, bu işlevi kullanarak kısa sürede NFT’leri çalabilir ve saldırı başlangıçta fark edilmeyebilir.
2. Teknik Destek Dolandırıcılığı
NFT’ler düzenlenmemiş ve merkeziyetsiz olduğundan, sahipleri yardım için genellikle topluluktaki diğer kişilere güvenir. Kendi başlarına çözemeyecekleri teknik sorunlar yaşayan birçok kişi, yardım için Discord, Reddit veya Telegram’a yönelir. Ancak, bu platformlarda yanlış amaçlarla bulunan kişiler de olabilir. Bu kişiler, insanların güvenini ve bilgi eksikliğini kullanarak onların varlıklarını çalarlar.
3. Pazar Yeri Hacki
Merkezi platformlar, diğer üçüncü taraf pazar yerleri gibi hacklenebilir, bu durum NFT alıcıları için önemli bir siber güvenlik riski oluşturur. Bugünkü NFT’lerin %95’ine kadar olan bir kısmı değersiz olsa da, değerini koruyanlar oldukça değerlidir — yani bir NFT satın almak isteyenler kaçınılmaz olarak kötü niyetli kişilerin hedefi olacaktır.
Pazar yeri hackleri daha önce gerçekleşmiş olup, gelecekte de devam etmesi muhtemeldir. Örneğin, bir hacker 2021’de Nifty Gateway’den binlerce dolarlık NFT çaldı. OpenSea gibi popüler siteler bile güvenlik ihlalleri yaşadığını itiraf etti. NFT sahibi olmak isteyenlerin, bu tür platformlarda faaliyet göstermenin risklerini anlamaları önemlidir.
4. Hizmet Engelleme Saldırısı
Hizmet engelleme saldırısı, NFT alıcıları için en önemli siber güvenlik risklerinden biridir. Bu saldırı, bir saldırganın akıllı kontratları, işlem başlamadan önceki durumlarına geri dönmelerini engellemek için yinelemeli geri aramalar kullanarak bloke etmesiyle gerçekleşir. Bu, sınırsız kaynak kullanımına ve işlevin kalıcı olarak bloke edilmesine yol açar.
5. Rug-Pull Dolandırıcılığı
Rug-pull dolandırıcılığında, kötü niyetli biri, belirli bir hisse senedi, kripto para veya NFT projesine yatırım yapmanın büyük bir getiri sağlayacağını diğerlerine inandırır. Yeterince insan bu fikri finanse ettiğinde, dolandırıcı ortadan kaybolur. Bu tür dolandırıcılıklar, bu toplulukta birçok kez gerçekleşmiştir çünkü düzenlenmemektedir.
2022’de Ethan Nguyen ve Andre Llacuna, Frosties adında bir dondurma temalı NFT koleksiyonu oluşturdu. Söylenenlere göre, yaklaşık 1.1 milyon dolar kazandılar ve 8,888 öğeleri kamuya açıklandıktan bir saat içinde satıldı. Kısa bir süre sonra, fonlarını çeşitli dijital cüzdanlara aktardılar ve ortadan kayboldular.
Her ikisi de daha sonra dolandırıcılık ve kara para aklama suçlamalarıyla tutuklandılar, ancak Frosties’e yatırım yapanlar hala paralarını kaybetmiş ve NFT’leri neredeyse değersizdi. Rug-pull dolandırıcılıkları yaygındır, sadece çoğu bu kadar karlı değildir. Bir yatırım çok iyi görünüyorsa, muhtemelen öyledir.
6. Orakel Manipülasyonu
Akıllı kontratlar, harici bir kaynaktan veri almak için bir orakel kullanırken; bir saldırgan, NFT’yi çalmak için işlemleri zorla tetikleyebilir. Bu tür manipülasyonlar, sahibinin sorunu fark etmeden hızlıca gerçekleşebilir.
7. Sahte NFT’ler
Dolandırıcılar, sanatı kolayca kopyalayabilir veya çalabilir. Öğenin URL’si ve cüzdan adresi orijinaliyle uyumlu olmayacaktır, ancak yine de yeterince ikna edici olabilir. Böyle bir şeye hiç kanmayacağını düşünen insanlar yanılıyor — en yaygın kullanılan platformlarda bile sahte ürünler mevcuttur. 2022’de, OpenSea’nin ücretsiz araç takımıyla oluşturulan NFT’lerin %80’inin sahte olduğunu açıkladı.
8. Phishing Saldırısı
İki adımlı bir phishing saldırısında, bir saldırgan, sektörde tanınmış birini kötü niyetli bir bağlantıya veya ek dosyaya tıklamaya ikna ederek sosyal medya hesaplarını ele geçirir. Hesabın kontrolünü ele geçirdiklerinde, sınırlı süreli bir anlaşma veya canlı yayın gibi bir etki yaratacak diğer bir kötü niyetli bağlantıyla birlikte paylaşım yaparlar. Takipçilerin büyük bir yüzdesi bunun meşru olduğuna inanacaktır.
Bağlantıya tıklayanlar, kredi kartı bilgilerini girerken saldırgan tarafından izlenebilir, sosyal medya hesapları ele geçirilebilir veya dijital cüzdanlarındaki tüm NFT’ler boşaltılabilir. En kötü senaryoda, bu üç olasılık aynı anda gerçekleşir — yani kimse, diğerlerini uyaran bir yorum yapamaz.
9. Dolandırıcı Pazar
Dolandırıcı pazar yerleri ya sahte olarak oluşturulmuş ya da meşru platformların ikna edici kopyalarıdır. NFT alıcıları veya satıcıları için hiçbir düzenleme olmadığından, yeterince teknik bilgiye sahip olan herkes bir pazar yeri oluşturabilir. Genellikle, habersiz cihazlara kötü amaçlı yazılım enjekte etmek veya ziyaretçileri bilgilerini vermeye kandırmak için tasarlanırlar.
10. Pump-and-Dump Dolandırıcılığı
Pump-and-dump dolandırıcılığı, NFT alıcıları için en büyük siber güvenlik risklerinden biridir. Kötü niyetli biri, koleksiyonunun değerini yapay olarak artırır. İyi bir yatırım gibi görünmesini sağlayarak gerçek insanların satın almasını sağlar. Daha sonra, değer hızla artar — ancak bu durum geçicidir. Zirveye ulaştığında, her şeyi aniden satarak geri kalanını değersiz hale getirir.
11. Dijital Cüzdan Zayıflıkları
NFT dijital cüzdanları, varlıkları saklamak için tasarlanmıştır, bu nedenle herhangi bir güvenlik açığı sahibinin tüm koleksiyonunu riske atabilir. Maalesef, birçok kişi düşündüğü kadar güvenli değillerdir. Örneğin, internete bağlı olan web tabanlı versiyonlar, ortadaki adam saldırılarına açıktır. Mobil cihazlarda bulunanlar da hacklenebilir.
Bir dijital cüzdan tokenleri veya sahibine blok zincirindeki öğelere erişim sağlayan özel bir anahtarı saklasa da, sahibinin son savunma hattı olarak hizmet eder. Uygulamalarını güncel tutmadıkça, herkese açık Wi-Fi kullanmadıkça ve cihazlarını yanlarında taşıdıkları sürece, hackerlar zayıflıkları istismar edebilir ve koleksiyonlarını çalabilirler.
NFT Yatırımcıları Siber Tehditlere Karşı Dikkatli Olmalı
Özellikle topluluğa yeni katılan ve yaygın siber tehditlerin farkında olmayan NFT alıcıları için birçok siber güvenlik riski bulunmaktadır. Dijital cüzdanlarını ve kişisel verilerini korumak adına dikkatli olmalı ve karşılaşmadıkları şeylere karşı temkinli davranmalıdırlar.