Sahte airdrop dolandırıcılığı, kullanıcının ücretsiz token kazanma vaadiyle yönlendirildiği phishing sitelerde cüzdan onayı (signature) verilerek tüm bakiyenin çalınması şeklinde gerçekleşir. Türk hukukunda TCK 158/1-f, TCK 244, 5651 SK ve KVKK kapsamında değerlendirilir.
1. Airdrop Dolandırıcılığı Nasıl İşler?
Fail; meşru bir kripto projesinin (Arbitrum, Optimism, zkSync) sahte airdrop sayfasını oluşturur. Mağdur, “claim” butonuna tıkladığında MetaMask onay popup’unda eth_sign veya setApprovalForAll imzası verir; bu imza üzerinden drainer kontrat tüm cüzdan içeriğini transfer eder.
2. Dolandırıcılık Tipleri
- Sahte resmi domain klonu (arbitrum-airdrop[.]xyz gibi)
- Discord/Telegram bot ile DM yoluyla phishing link
- Twitter/X reklamlarında sahte resmi proje hesabı
- Google reklamlarında SEO ile üst sıralarda sahte site
3. Hukuki Nitelendirme
TCK 158/1-f bilişim sistemleri kullanılarak nitelikli dolandırıcılık temel suçtur. Phishing site barındıran sunucu yurt dışında olsa dahi mağdurun bulunduğu yer Cumhuriyet Başsavcılığı yetkilidir. Sosyal medya hesabı sahibinin tespiti için 5651 SK m.8 BTK içerik kaldırma süreci işletilebilir.
4. İlk Müdahale
- revoke.cash veya Etherscan token-approval-checker üzerinden tüm yetkileri iptal
- Cüzdandaki kalan varlıkları yeni cüzdana taşıma
- Phishing site URL ve drainer kontrat adresinin Etherscan ekran görüntüleri
- Cumhuriyet Başsavcılığı şikayet dilekçesi — TCK 158/1-f, 244
- 5651 SK m.8 kapsamında BTK içerik kaldırma talebi
5. Sosyal Medya Hesap Tespiti
Twitter/X, Discord, Telegram üzerinde phishing yayan hesabın tespiti için 5651 SK m.8 BTK üzerinden içerik kaldırma + IP loglarının istenmesi, ardından platform compliance birimine MLAT (Karşılıklı Adli Yardım Anlaşması) çerçevesinde bilgi talebi yapılır.
6. Mevzuat
- 5237 sayılı TCK m.158/1-f, m.244
- 5651 sayılı İnternet Kanunu m.8 (içerik kaldırma)
- 6698 sayılı KVKK m.14
- 5549 sayılı MASAK Kanunu
- 6098 sayılı TBK m.49 vd.
7. Tazminat ve İade
Failin tespiti halinde TBK m.49, 51, 65 çerçevesinde maddi-manevi tazminat davası açılabilir. Çalınan varlık merkezi borsaya yatırılmışsa borsa compliance bloke prosedürü işletilir.
İlgili Hukuki Konular
Sıkça Sorulan Sorular
Sahte airdrop sitesini nasıl tanırım?
Resmi proje domain adresi mutlaka kontrol edilmelidir (arbitrum.io vs arbitrum-airdrop.xyz). Resmi airdrop iddialarında cüzdan imzası veya setApprovalForAll asla gerekmez; yalnızca claim butonu ile token transferi yapılır. Twitter/X verified hesap mavi tikinin satın alınmış olabileceği unutulmamalıdır.
İmzaladığım signature için ne yapmalıyım?
Hemen revoke.cash veya Etherscan/BSCscan token approval checker üzerinden tüm aktif yetkileri iptal edin. Cüzdandaki kalan varlıkları yeni güvenli cüzdana taşıyın. setApprovalForAll yetkisi iptal edilmezse fail istediği zaman varlıkları çekebilir.
Şikayet hangi savcılığa yapılır?
Mağdurun ikametgahı veya işlem yapılan yer Cumhuriyet Başsavcılığı yetkilidir. TCK 158/1-f bilişim yoluyla nitelikli dolandırıcılık ve TCK 244 sistem engelleme suçlarından şikayet yapılır. Suç duyurusu dilekçesine TxHash, kontrat adresi ve phishing URL ekran görüntüleri eklenir.
Phishing site nasıl kapatılır?
5651 sayılı İnternet Kanunu m.8 kapsamında BTK e-şikayet sistemi (etuketle.btk.gov.tr) üzerinden içerik kaldırma talebi yapılır. Sulh Ceza Hakimliği kararı ile 24 saat içinde erişim engellenebilir. Yurtdışı hosting halinde MLAT prosedürü gerekir.
KVKK başvurusu nasıl yapılır?
Phishing sitesi cüzdan adresi, IP, tarayıcı parmak izi gibi kişisel veri topladıysa KVKK m.14 uyarınca Kişisel Verileri Koruma Kuruluna şikayet edilebilir. KVK Kurulu site sahibine idari para cezası uygulayabilir ve uluslararası iş birliği yoluyla bilgi talep edebilir.
Tazminat almak mümkün mü?
Failin tespiti durumunda TBK m.49 (haksız fiil), m.51 (manevi tazminat) ve m.65 çerçevesinde tam tazminat davası açılabilir. Failin yurtdışında olması durumunda MÖHUK m.34 yer hukuku belirlenir; Türk mahkemesinde dava açılabilir.