Kripto para piyasası, kripto para ağlarının hack’lenmesiyle yada dolandırıcılıklarla sık sık gündeme gelirken, 2021’deki yükselişiyle tüm dikkatleri üzerine çekmeyi başaran NFT piyasası hack saldırılarından ziyade özellikle dolandırıcılıklarla gündeme geliyor. Dolandırıcıların NFT piyasasının hedef almak için ağırlık olarak Telegram, Twitter ve Discord gibi sosyal ağları ve mesajlaşma platformlarını kullandığı görülen, en uğrak yerlerinin beklendiği gibi Twitter olduğu görülüyor. Bu noktada bir NFT dolandırıcısının Twitter’da filmlere konu olacak yaklaşımla 1 milyon dolar değerinde ünlü NFT koleksiyonunun 14 parçasını çalmayı başardı. İşte o dolandırıcının hikayesi.
Filmlere Konu Olacak NFT Dolandırıcılığı
Bir dolandırıcı, bir ay süren sosyal mühendislik dolandırıcılığı yaparak ünlü NFT koleksiyonu Bored Ape Yacht Club‘ın bugün 825 ETH (1.07 milyon dolar) değerindeki 14 parçasını çalmayı başardı. Kendisini Sony Pictures Studio’da ofisleri bulunan Los Angeles merkezli Emmy ödüllü bir şirket olan “Forte Pictures” için çalışan bir oyuncu yönetmeni olarak tanıtan ve Jason Brubeck ismini kullanan bir dolandırıcı, kurbana ulaşarak 2060 numaralı BAYC parçası için IP haklarını lisanslamak istediğini belirtti.
Forte Pictures’e aitmiş gibi forte.pictures alan adını kullanan dolandırıcı, Emmy ödüllü bir şirket gibi davranarak “Unemployd” işbirliğinde NFT ile ilgili “The Return of Time” adlı bir film hazırladıklarını iddia etti. Unemployd, dolandırıcının NFT’leri çalmak için özel olarak hazırladığı ve yapay zeka destekli bir sosyal IP platformu olarak gösterilen bir platformdu.
Kurbanla saatlerce süren telefon görüşmeleri yapan dolandırıcı, kurbanlara haftalarca telefonla konuştu, sahte satış görüşmeleri ve ortaklıklar kurdu, sahte yasal sözleşmeler yaptı, Twitter’da sık sık Space yayınladı açtı. Her gün tweet atan ve insanlarla etkileşime giren ve Unemployd ile NFT‘leri için lisans anlaşması yapmış gibi davranan sahte BAYC/MAYC Twitter hesapları oluşturan dolandırıcı, bu süreç boyunca yavaş yavaş güven aşılayarak yoluna devam etti.
Dolandırıcı, sözde sözleşmeleri inceledikten ve şartları görüştükten sonra Unemployd aracılığıyla kurbana “teklif getirdiklerini” belirttikleri bir e-posta gönderdi. Dolandırıcının hedefinde aslında kurbanın cüzdanı boşaltmayı sağlayan “sözleşmeyi imzalaması” için Unemployd’u ziyaret etmesi vardı. Sahte web sitesini kullanan kurbana, lisanslama için imzalaması gerektiğini iddia ettikleri gas’sız bir Seaport imzası gösterdiler. Ancak, imza aslında kurbanın tüm BAYC’lerinin 0.00000001 ETH karşılığında dolandırıcıya özel bir pakette gönderilmesini sağlıyordu.
Dolandırıcının Secret Network tarafından finanse edilen cüzdanı, özel satışı tamamlamak için matchOrders işlevini çalıştırdı. Dolandırıcı daha sonra tüm en yüksek WETH tekliflerini kabul ederek 852.86 WETH karşılığında NFT’lerin tamamını sattı ve WETH’leri 1.07 milyon DAI‘ye dönüştürdü. Dolandırıcı daha sonra DAI’leri yeni bir cüzdana gönderdi ve fonlar şu anda bu cüzdan atıl durumda bekliyor.
NFT Yatırımcılarının Dikkat Etmesi Gerekenler
NFT yatırımcıları, yukarıdaki gibi filmlere konu olabilecek dolandırıcılıkların yanı sıra daha komplike ya da daha basit dolandırıcılıkların hedefi olabilirler. Temel düzeyde bir NFT yatırımcılarının dolandırıcılıktan korunması için öncelikle girdiği web sitesinin meşruiyetini kontrol etmeli ve doğrulaması, cüzdanı ile neye imza attığına dikkat etmeli.
Özellikle en büyük NFT pazar yeri OpenSea dışında Seaport sözleşmelerini imzalamaması gerekiyor. NFT yatırımcıları ayrıca birden fazla cüzdan (sıcak, soğuk ve donanım) güvenliği artırabilirler.