Pasif Gelir Tuzağı: YouTube'daki MEV Botları Neden Dolandırıcılık?
Özet: YouTube'da 'Kripto Ticaret Botu' araması yapın, çılgın karlar vaat eden binlerce video bulursunuz. Size Remix'e kod kopyalayıp yapıştırmanızı söylerler. Bu makale "Mempool Front-running" hilesini ve fonlarınızı çalan gizli kodu inceliyor.
1. Yem: "Kopyala, Yapıştır, Zengin Ol"
YouTube veya TikTok'ta geziniyorsunuz. Bir başlık görüyorsunuz:
"Uniswap'te ChatGPT ile Front-Running Botu Yap (Kodsuz) - Günde 600$!"
Prodüksiyon kalitesi yüksek. Seslendirme profesyonel. Sürekli ETH kazanan bir cüzdanın "canlı kanıtlarını" gösteriyorlar.
Talimatlar:
- Remix.ethereum.org'a gidin (meşru bir dev aracı).
- Açıklamadaki / Pastebin'deki "Bot Kodu"nu kopyalayın.
- Sözleşmeyi (Contract) dağıtın (Deploy).
- Sözleşmeye ("Gas ücreti" için) 0.5 ETH veya daha fazlasını Yatırın (Fund).
- "Başlat" (Start) düğmesine basın.
2. Tuzak: Start() Fonksiyonu
Dağıttınız. 0.5 ETH gönderdiniz. Başlat'a bastınız.
Beklenti: Bot Mempool'u taramaya başlar, Front-running fırsatlarını bulur ve kar eder.
Gerçek: 0.5 ETH'niz anında dolandırıcının cüzdanına transfer edilir.
3. Kod: Karmaşıklık Yoluyla Güvenlik (Obfuscation)
Koda baktınız, neden görmediniz?
Dolandırıcılar Karartma (Obfuscation) kullanır.
Kod genellikle şöyle görünür:
function start() public payable {
emit Log("Running Front Run function...");
manager.performTasks();
}
function performTasks() {
// Looks complicated...
bytes memory _data = hex"6874747073a2f2f..."; // Massive hex string
// ...
}
Dolandırıcı, cüzdan adresini bu devasa, okunamayan onaltılık sayı listesinin içine gizler veya kodun başvurduğu ayrı bir "IPFS" dosyasından içe aktarır.
start()'a bastığınızda, sözleşme bu Hex verilerinden dolandırıcının adresini oluşturur ve transfer(address(this).balance) komutunu çalıştırır.
4. Bu Dolandırıcılık Nasıl Anlaşılır?
"Pazarlama"
- Bot Yorumları: Yorumlara bakın. "Vay be, gerçekten çalışıyor!", "Bugün 2 ETH kazandım!" - Hepsi 2 gün önce açılmış hesaplardan.
- Yüksek Getiri / Düşük Efor: MEV (Front-running) inanılmaz derecede rekabetçidir. Milyonlarca likidite ve milisaniye düzeyinde gecikme (latency) gerektirir. Remix'teki 50 satırlık Solidity betiğiyle yapabileceğiniz bir şey değildir.
Kod
- Garip İçe Aktarmalar: Kod
github.com/RandomUser/mempool-apigibi bir şeyi içe aktarıyor mu? - Okunamaz Mantık: Eğer basit bir iş için büyük
hex"..."blokları veya karmaşık Assembler kodları görüyorsanız, bir hedef adresi gizliyordur.
5. Savunma: Dağıtmadan Önce Oku
Anlamadığınız kodu asla dağıtmayın. Özellikle parayla ilgiliyse.
- Simülatör Kullanın: Tenderly gibi araçlar, ETH göndermeden önce işlemi simüle etmenizi sağlar. "Başlat" düğmesini simüle ederseniz, ETH'nin cüzdanınızdan çıkıp gizemli bir adrese gittiğini görürdünüz.
- Altın Kural: Eğer bir bot bedavadan günde 500$ kazandırıyorsa, yaratıcısı onu gizli tutardı - YouTube'da paylaşmazdı.
Daha Fazlası: Dolandırıcılar kodu körü körüne çalıştırmanıza güvenir. Geliştiricilerin İşbirlikçi Tuzağı ile kötü amaçlı botları test ederek nasıl kandırıldığını ve Ice Phishing saldırısının sahte "Botu Başlat" düğmeleriyle izinleri nasıl çaldığını okuyun.
Sonuç
Kripto piyasasında hile kodu yoktur. Karlı algoritmalar çok gizli sırlar gibidir, Pastebin linkleri değildir. Eğer gerçek olamayacak kadar kolaysa, Getiri (Yield) sizsinizdir.
İlgili Makaleler
Tedarik Zinciri Zehri (Supply Chain Poison): Güvenilir Güncellemeler Ne Zaman Malware Olur?
Tuhaf bir şey indirmediniz. Sadece Ledger uygulamasını güncellediniz... Ve paranın kaybolduğu an o andı. Tedarik Zinciri Saldırısının dehşeti.
Kağıt Kalkan (The Paper Shield): Seed Phrase Nasıl Doğru Yedeklenir?
Ekran görüntüleri felakettir. Bulut, başkasının bilgisayarıdır. Özel anahtarlarınızı saklamanın tek güvenli yolu 'Çelik' ve 'Kağıt'tır.
Uzun Oyun (The Long Con): 'Domuz Kasaplığı' Dolandırıcılıklarının Psikolojisi
Yanlış numaraya mesaj atmadı. Ve sana aşık değil. Kriptodaki en acımasız dolandırıcılık olan 'Sha Zhu Pan'ı ve senaryoyu nasıl fark edeceğinizi öğrenin.