Kripto borsamızda, kullanıcılar bazen bize meşru olanlarla aynı adı taşıyan token'lar gönderir, ancak gerçekte gerçek değillerdir. Örneğin, USDT'yi USDC ile takas etmek isteyen biri bize "USDT" etiketli bir token gönderebilir. Cüzdanlarında ve blok gezgininde USDT gibi görünüyor, ancak Tether tarafından yayınlanmadı. Sahte.
Profesyoneller olarak, sahte tokenları hemen tespit edebiliriz. Hatta herhangi bir dikkatli kullanıcı da yapabilir. Örneğin, yukarıdaki ekran görüntüsünde, sahte USDT token'ının toplam 1 milyar token arzına[1] sahip olduğunu, hepsinin sadece beş adreste[2] saklandığını ve onunla yalnızca 35 işlemin[3] yapıldığını görebilirsiniz. Bu açık bir kırmızı bayrak.
Ancak sorun şu: bu ayrıntıları yalnızca bir blok gezgininde token'a baktığınızda fark edersiniz. Çoğu cüzdan bu tür bilgileri göstermez; yalnızca token'ın adını (örneğin, USDT) ve bakiyenizi gösterirler. Bu nedenle, kullanıcılar genellikle sahte bir şeyle uğraştıklarını bilmiyorlar. Onu birinden aldılar, gerçek olduğunu varsaydılar ve işlerine devam ettiler.
Destek ekibimizin bir token'ın değersiz olduğunu söylemesi her zaman acı vericidir, özellikle de işin içinde büyük miktarda para varsa. Bazı kullanıcılar ilk başta buna inanmayı reddediyor. Onlar için bu 50.000 "USDT" token'ı, biz onlara aksini söyleyene kadar 50.000 dolara eşitti.
Bu makalede, bunun neden olduğunu ve bu konuda yapılabilecek bir şey olup olmadığını keşfetmek istiyorum.
Neden Sahte Tokenlar Oluşturuluyor?
Çoğu blok zinciri tamamen açık sistemlerdir. Herkes, istedikleri herhangi bir ada sahip bir token oluşturmak da dahil olmak üzere, bunlara herhangi bir şey yazabilir. Herhangi birinin "USDT" veya "Bitcoin" adlı bir token kaydetmesini engelleyecek merkezi bir otorite yoktur. Bir yandan, bu bir güçtür: ağ sansüre direnir. Ancak diğer yandan, bu, aynı ada sahip düzinelerce token'ın aynı ekosistemde bir arada var olabileceği anlamına gelir.
Bu sorun, Ethereum'daki ICO ve DeFi patlamaları sırasında özellikle dikkat çekici hale geldi. Uniswap gibi platformlarda herkes bir token listeleyebilirdi ve dolandırıcılar bundan hızla yararlandı. İlk yüksek profilli örneklerden biri, Eylül 2020'de Polkastarter (POLS)'ın token satışıydı. Token'ın fiyatı piyasaya sürülmesinden hemen sonra fırladı ve dolandırıcılar sahte POLS token'ları çıkarmak ve bunları Uniswap'ta listelemek için acele ettiler.
Gerçek token'ın Uniswap'ta farklı bir logosu olmasına rağmen, bu bazı kullanıcıların sahtelerini satın almasını engellemedi. Bunlardan biri 30.000 doların üzerinde bir fiyata satın alındı.
Birçok cüzdan arayüzünde durum daha da kötüydü: sahte token'lar tıpkı gerçek olanlar gibi görünüyordu. Bazı cüzdanlar hiç logo göstermedi. Diğerleri bunları harici kaynaklardan çekti ve dolandırıcılar, sahte token'larının orijinal gibi görünmesi için Polkastarter logosunu yükledi.
Bazı durumlarda, karışıklık için aynı adlara bile gerek yoktur; yalnızca ortak sembollere ihtiyaç vardır. Örneğin, Uniswap token'ı UNI'yi piyasaya sürdüğünde, bazı yatırımcılar bunu aynı zamanda UNI olarak adlandırılan başka bir token ile karıştırdı; Unicorn adlı bir projeden. İnsanlar yanlış token'ı satın almak için acele ettiler ve fiyatını 0,001$'dan 5$'a çıkardılar; 5.000 kat artış. Hata fark edildiğinde, fiyat da aynı hızla düştü. Bazıları kazara para kazandı, diğerleri de aynı kolaylıkla kaybetti.
Bir token'ın başka bir token'ı değil, kendi token'ı bile olmayan bir kripto hizmetinin adını taklit ettiği durumlar da vardır. Bir söylenti yayılıyor: "Bu, projenin gerçek token'ı, ancak henüz resmi olarak duyurmadılar; bu yüzden hala çok ucuz!" Örneğin, Ocak 2025'te startup SoSoValue, birilerinin markalarını kullanarak BSC'de sahte bir SOSO token'ı yayınladığı konusunda uyardı; ancak onlar hiçbir zaman herhangi bir kripto para birimi başlatmadılar. Kullanıcılar sahteden kaçınmaya ve bilgi kaynaklarını dikkatlice doğrulamaya çağrıldı.
Sahte bir token satın aldıktan sonra, başka birini gerçek olduğuna inandırarak kandırmadığınız sürece onu satmanız pek olası değildir. Yine de, garip bir şekilde, sahte token'lar bazen talep çekiyor. Örneğin:
- 13 Şubat 2025'te Changpeng Zhao, X'te köpeği Brokoli'nin bir resmini yayınladı ve onun adına herhangi bir token çıkarmayacağını açıkça belirtti. Yine de BNB Zincirinde birkaç "Brokoli" token ortaya çıktı ve bazıları hala işlem görüyor ve rabbit.io'da takas ediliyor.
- 12 Mart 2025'te sahte bir PAWS token'ı Raydium DEX'te Bybit'teki gerçek PAWS token'ının fiyatının 90 katı fiyata işlem görüyordu.
Gerçek şu ki: dikkat değer yaratır, hatta imitasyonlar için bile. Ve bazı sahtekarlar, kreasyonlarına dikkat çekmekte çok iyidir.
Yine de, bu güvenmeniz gereken bir şey değil. Sahte bir token aldıysanız, onu nereye atabileceğinizi bulmaya çalışmamanızı şiddetle tavsiye ederim.
2021'de Tron blok zincirindeki dolandırıcılar, binlerce adrese gerçek kripto para birimlerini taklit eden gösterişli isimlere sahip ücretsiz token'lar gönderdi. Şüphelenmeyen kullanıcılar cüzdanlarında "hediye" bulduklarında ve onu satmaya çalıştıklarında, bir tuzağa çekildiler: token'ın işlem görebilir göründüğü tek platform, onlardan şüpheli bir akıllı sözleşmeyi onaylamalarını istedi; bu da cüzdanlarını tehlikeye atabilirdi.
Bu özel plan artık çoğunlukla unutuldu. Ancak dolandırıcıların, token dağıtımının binlerce cüzdana ucuz ve kolay olduğu başka bir blok zincirinde bunu tekrarlamaya teşebbüs edebileceğinden endişeleniyorum.
Sahte Token Sorunu Çözülebilir mi?
Aslında, teknik çözümler var.
İlk tokenleştirme protokolleri olan Colored Coins, Omni Layer ve Counterparty, 2012 ve 2014 yılları arasında tanıtıldı ve Bitcoin blok zincirinin üzerine inşa edildi. Colored Coins ve Omni Layer, aynı token adını birden çok kez kullanma konusunda herhangi bir kısıtlama getirmedi. Aksine, Counterparty, token adlarının benzersiz olması gereken bir sistem tanıttı. Bu, birinin 2014'te LTBCOIN adlı bir varlık oluşturduğu ve bugün 2025'te bu ada sahip bir token gördüğünüzde, onun aynı token olduğundan emin olabileceğiniz anlamına gelir. Protokol, seçilen adın daha önce kaydedilip kaydedilmediğini doğrular. Kaydedilmişse, token oluşturma işlemi reddedilir.
Ancak bu yaklaşım hiçbir zaman yaygın olarak benimsenmedi. Aynı ilkeye göre çalışan alan adlarının geçmişi, nedenini gösteriyor: çekici adlar hızla kapılıyor ve gerçek proje adları genellikle gerçek projeyle hiçbir ilgisi olmayan siber zorbalar tarafından rezerve ediliyor. Bu nedenle, meşru projenin yaratıcıları tüm token platformlarında adlarını talep etmek için acele etmedikçe, yine de sahte tokenlarla karşılaşabilirsiniz. Belki de bu yüzden Counterparty'nin çözümü, Ethereum, Solana, BNB Chain veya diğerleri gibi büyük tokenleştirme ekosistemlerinden hiçbiri tarafından benimsenmedi.
Bu fikrin ilginç bir inceliği, Nisan 2024'te Bitcoin'de başlatılan Runes protokolünde görülebilir. Runes aracılığıyla çıkarılan her token'ın benzersiz bir adı vardır; ancak USDT veya USDC gibi adlar şu anda mevcut değildir.
Piyasaya sürülürken, protokol hala radarın altındayken, kullanıcıların yalnızca 13 karakter veya daha uzun olan adları kaydetmelerine izin veriliyordu. Kayıt, Bitcoin bloğu 840.000'de (20 Nisan 2024'te çıkarıldı) açıldı ve bu uzunluk kısıtlaması 17.500 blok boyunca yürürlükte kaldı. 857.500 bloğundan (19 Ağustos 2024'te çıkarıldı) başlayarak, 12 karakterli adlar kullanıma sunuldu. Blok 875.000, 11 karakterli adların kilidini açtı.
Dört karakterli adların (USDT ve USDC gibi) Nisan 2027 civarında kullanıma sunulması bekleniyor. Protokolün geliştiricileri, o zamana kadar yeterli çekiş kazanacağını ve gerçek token ihraç edenlerin dikkat edeceğini ve çömeliciler yapmadan önce yasal adlarını talep edeceğini umuyor.
Ancak, Runes protokolünün lansmanından bir yıl sonra, gerçekten bir çekiş kazanamadığı görülüyor. Çoğu token oluşturucu hala daha ucuz ve kullanımı daha kolay olan diğer platformları tercih ediyor. Ne yazık ki, bu platformlar sahte token'lara karşı protokol düzeyinde herhangi bir koruma sunmuyor.
Protokol düzeyinde koruma önlemleri nadir olduğundan, geliştiriciler uygulama düzeyinde, blok gezginlerinde, cüzdanlarda ve token listelerinde çözümler uygulamaya başladı.
Etherscan, BscScan ve TronScan gibi popüler gezginlerde, doğrulanmış token'lar bir onay işareti veya diğer görsel göstergelerle işaretlenir. Bir token'da böyle bir işaret yoksa, kullanıcıların dikkatli olmaları önerilir.
MetaMask, wallet.rabbit.io ve diğerleri gibi cüzdanlar, genellikle yalnızca onaylanmış token'lar veya kullanıcının daha önce etkileşimde bulunduğu token'lar için bakiyeler gösterir. Cüzdanınızda rastgele görünen sahte token'lar varsayılan olarak bile görünmez. MetaMask'ta kullanıcılar herhangi bir token'ı manuel olarak ekleyebilir, ancak bunu yapmak için akıllı sözleşme adresini girmeleri gerekir; bu da onları token adından daha derine bakmaya teşvik eder. Yalnızca bu adım, kullanıcıların bir sahtekarlığı belirlemesine yardımcı olabilir.
Ancak, bu sözde "beyaz listeler" yeni bir zorluk yaratıyor: meşru ancak daha az bilinen token'ların kullanıcılara ulaşmasını zorlaştırıyor. Tanınma veya doğrulama olmadan, daha yeni token'lar, tamamen güvenli olsalar bile fark edilmek için mücadele ediyor.
Bir alternatif, kara listeler kullanmaktır; şüpheli veya yanıltıcı token'ların listeleri. Ancak bunların kendi sorunları var. Örneğin, 2019'da Waves ağı, şüpheli token'ları kara listeye almaya başladı. Talihsiz bir vaka, yerel bir topluluk token'ı olan HBTC'yi (Humboldt Bitcoin) içeriyordu. Birkaç aylık aktif dolaşımın ardından, HBTC'nin sembolü BTC'ye çok benzediği için aniden spam olarak işaretlendi. Sonuç olarak, token'ı alan kullanıcılar artık cüzdanlarında göremiyorlardı; token hileli olmasa ve yaratıcıları yanlış bir şey yapmamış olsa bile.
Bazı geliştiriciler, web'deki URL'lerin nasıl çalıştığından ilham alarak birleştirilmiş token bulucular (UTL'ler) için yeni bir biçim öneriyorlar. Bir token'ı adıyla tanımlamak yerine, belirsizliği ortadan kaldırmak için ağ + token kimliği kombinasyonunu kullanma fikri vardır. Örneğin:
- ethereum:0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
- solana:EPjFWdd5AufqSSqeM2qN1xzybapC8G4wEGGkZwyTDt1v
- stellar:USDC-GA5ZSEJYB37JRC5AVCIA5MOP4RHTM335X2KGX3IHOJAPP5RE34K4KZVN
Bu, büyük potansiyele sahip basit bir fikir. Tıpkı her web sitesinin sahip olduğu gibi:
- Bir ad (örneğin, Medium)
- Ve bir URL (örneğin, https://medium.com)
…token'lar şunlara sahip olabilir:
- Bir ad (örneğin, USD Coin)
- Ve belirli bir blok zincirindeki gerçek varlığı açıkça gösteren bir veya daha fazla UTL.
Bu yalnızca sahte token'ları önlemeye yardımcı olmakla kalmayacak, aynı zamanda token'ları yanlış ağa gönderme gibi hataları da azaltacaktır; bu da zaman zaman Rabbit Swap'te de gördüğümüz bir şeydir. Örneğin, bir kullanıcı Ethereum'daki USDT'yi BTC ile değiştirmek isteyebilir, ancak bunun yerine yanlışlıkla Base'deki USDT'yi gönderir. Bu gibi durumlarda, takas veya geri ödeme manuel olarak işlenmelidir; bu da normal otomatik iş akışlarımızdan çok daha fazla zaman alır.
Bununla birlikte, UTL'ler, en azından mevcut biçimleriyle, sorunu tamamen çözmüyor. İki noktadan sonraki kısım (token kimliği) gerçekten benzersizdir. Ancak bundan önceki kısım ne olacak?
Birinin yeni bir blok zinciri başlatmasını ve ona "Ethereum", "Solana" veya hatta "Bitcoin" demesini engelleyecek ne var? Teknik olarak, hiçbir şey. Ve evet, bu zaten oldu.
Ağustos 2017'de Bitcoin ağı, Bitcoin Cash (BCH) ile sonuçlanan zorlu bir çatal geçirdi. Bir süreliğine, 2017'nin sonlarında ve 2018'in başlarında, bitcoin.com web sitesi, orijinal zincire "Bitcoin Core" (düğüm yazılımından sonra) olarak atıfta bulunurken, Bitcoin Cash'i “gerçek” Bitcoin olarak tanıttı. Birçok kullanıcı markadan dolayı kafası karıştı ve sonunda orijinal BTC olduğunu düşünerek BCH satın aldı. Yaygın eleştirilerin ardından, site sonunda bu mesajlaşmadan geri adım attı; ancak bölüm, en tanınmış kripto para birimlerinin bile taklit edilmeye karşı savunmasız olduğunu kanıtlıyor.
Peki ya Ethereum? Durum daha iyi değil. Bugün bile bazı insanlar hala Ethereum Classic'in gerçek Ethereum olduğuna inanıyor. Peki size ethereum:0xa0… gibi bir UTL verirlerse, hangi zincire atıfta bulunduklarını düşünüyorsunuz?
Sonuç olarak, bol miktarda teknik çözüm olmasına rağmen, sahte token sorunu yakın zamanda hiçbir yere gitmiyor.
Peki Ne Yapabilirsiniz?
Sonuç olarak, tek gerçek koruma, cüzdanınıza giren her token'ı kişisel olarak takip etmektir.
rabbit.io'da yapılan bir takasın parçası olarak token aldıysanız, bunların gerçek olduğundan emin olabilirsiniz.
Ancak token'lar bilinmeyen bir kaynaktan geliyorsa, güvende kalmanın en iyi yolu, yalnızca doğrulanmış token'ları veya daha önce etkileşimde bulunduğunuz token'ları görüntüleyen bir cüzdan kullanmaktır. Ve yeni bir token kullanmadan önce, aşağıdakilerden birini onayladığınızdan emin olun:
- akıllı sözleşme adresi (Ethereum, Tron veya Solana gibi blok zincirleri için) veya
- varlık kimliği (Bitcoin, Stellar veya Avalanche X-Chain gibi blok zincirleri için)
projenin resmi kanalları veya topluluğu aracılığıyla.
Ardından, bu doğrulanmış adresi veya tanımlayıcıyı kullanarak token'ı cüzdanınıza manuel olarak ekleyin.
Bu şekilde, adı ne kadar benzer olursa olsun, herhangi bir taklit token cüzdanınızda görünmez.
