🏃‍♂️ Tehlike: Yüksek

Rug Pull (Halı Çekme) ve Sahte NFT

Mağdurların Ortak İfadeleri

"Adamların yol haritası (roadmap) harikaydı, kendi oyunlarını çıkaracaklardı."

"Discord gruplarında 100.000 kişi vardı, hepsi çok heyecanlıydı, meğer hepsi botmuş."

"NFT'leri 'Mint'ledik (ürettik), ertesi sabah siteleri ve Twitter hesapları kapanmıştı."

"Yatırdığım Ethereum'lar adamın cüzdanından mikser (Tornado Cash) kullanılarak kaçırıldı."

Merkeziyetsiz finansın (DeFi) ve Web3 dünyasının, yasal bir sözleşme gerektirmeyen esnek yapısı Rug Pull (Halı Çekme) adı verilen siber soygunların patlamasına neden olmuştur. Adını, sihirbazın kurbanın altındaki halıyı aniden çekip onu yere düşürmesi metaforundan alır. Geliştiriciler (devs), topluluktan milyonlarca dolar topladıktan sonra likidite havuzunu boşaltıp bir gecede ortadan kaybolurlar.

Özellikle NFT (Non-Fungible Token) furyasında, "Metaverse" kelimesinin geçtiği her projede ve merkeziyetsiz borsa havuzlarında (Uniswap vb.) milyarlarca dolar bu yolla buharlaşmıştır.

Halı Çekme (Rug Pull) Türleri

1. Hard Rug (Kodlanmış Hırsızlık)

En acımasız türdür. Geliştiriciler akıllı sözleşmenin (Smart Contract) içine sinsi bir arka kapı (backdoor) veya gizli kodlar ekler. Örneğin kodu öyle bir yazarlar ki, yatırımcılar coini satın alabilir ama ASLA SATAMAZ (Buna Honeypot - Bal Küpü denir). Satış izni sadece geliştiricinin cüzdanındadır. Fiyat suni olarak tavan yaptığında geliştirici tüm coinlerini satar ve yatırımcılar sat tuşuna basamadıkları için ekranda paralarının sıfırlanmasını izler.

2. Soft Rug (Likidite Kaçırma)

Merkeziyetsiz borsalarda bir coinin alınıp satılabilmesi için havuzda karşılık (örneğin ETH veya USDT likiditesi) bulunması gerekir. Geliştiriciler havuzu kendi paralarıyla kurarlar, yatırımcılar akın edip havuza Ethereum ekleyerek yeni coini alırlar. Zirvede, geliştirici havuzdaki tüm Ethereum'u kendi cüzdanına "çeker". Likidite (para) bittiği için elinizdeki milyonlarca yeni coinin değeri matematiksel olarak sıfıra eşitlenir.

3. NFT ve Yol Haritası Yalanı

Sanat eseri görünümlü NFT'ler pazarlanır. Web sitelerinde müthiş bir "Yol Haritası" vardır: Metaverse konserleri, 3D oyunlar, yatırımcılara temettü dağıtımı... Discord kanalları botlarla 200 bin kişiye şişirilir. Topluluk heyecanla "Mint" (satın alma) yapar. Geliştiriciler 10 milyon dolar değerinde ETH toplar. Ertesi gün Discord sunucusu silinir, Twitter hesabı kapatılır. Elinizde değeri sadece JPEG görseli kadar olan, arkasında hiçbir teknoloji olmayan pikseller kalır.

Gelişmiş Denetim (Audit) Yöntemleri

Anonim Ekiplere Sıfır Tolerans: Proje kurucuları gerçek hayatta kim olduklarını (LinkedIn, geçmiş şirketler) kanıtlamıyorsa (Buna "Doxxed" denir), avatar veya sahte isim arkasına saklanıyorlarsa, parayı alıp kaçtıklarında Interpol'ün arayacağı bir isim bile olmayacaktır.
Likidite Kilidi (Liquidity Lock Check): Bir token alırken her zaman Etherscan veya BscScan üzerinden havuzun "Kilitli" olup olmadığını kontrol edin. Eğer likidite 1 veya 2 yıl boyunca "Third-party akıllı sözleşmeler" (örn. Team Finance) ile kilitlenmemişse, geliştirici o havuzu saniyeler içinde boşaltabilir.
Bağımsız Akıllı Sözleşme Denetimi (Audit): Projenin CertiK, Hacken veya ConsenSys gibi bağımsız ve saygın güvenlik firmaları tarafından denetlendiğinden ve kodunda açık (honeypot/mint function) bulunmadığını kanıtlayan raporu olduğundan emin olun.