Kripto Para Dünyasında Ava Giderken Avlanmak: Honeypot ve Rug Pull Dolandırıcılığı ve Türk Hukukundaki Yeri
24.01.2022
Teknoloji alanında devrimsel gelişmelerin yaşandığı geçtiğimiz yıllarda bilhassa blok zinciri (blockchain) teknolojisinin çağımızı kripto para ("coin" veya "token") çağı haline getirdiğini söyleyebiliriz. Sanat eserlerinin, tasarımların ve hatta tweetlerin dahi Non-Fungible Token’a ("NFT" – Değiştirilemez Token) dönüştürüldüğü ve dudak uçuklatan meblağlara satıldığı bu çağın en moda davranış biçimlerinden biri de FOMO hali (Fear of Missing Out), yani fırsatları kaçırma korkusu olmuştur. Bireyler yatırımlarını gelecek vadettiği düşünülen alanlarda yapmak ve treni kaçırmamak istemekte; öte yandan kulaktan kulağa çalınan ve kripto paralara yatırım yaparak çok kısa zamanlarda çok yüksek kâr elde etmiş yatırımcı hikâyeleri, kripto para teknolojisine ilişkin bilgileri ne düzeyde olursa olsun bireyleri, bu alanda yatırım yaparak turnayı gözünden vurma isteği ile kuşatmaktadır. Hal böyle olunca, merkezi bir otorite tarafından denetlenip düzenlenmeyen ve yeterli bilince sahip olmayan yatırımcılar tarafından da yüksek talep gören kripto para dünyası, dolandırıcıların da göz bebeği haline gelmiştir. Bu yazıda da bireyleri kâr vaadiyle cezbeden kripto para tuzakları Honeypot ve Rug Pull’a değinilecek, konu Türk Kanunları açısından ele alınacaktır.
1. Bal Tuzağı: Honeypot
Honeypot, esasen şahsına münhasır bir akıllı sözleşme türünü ifade etmek için kullanılan bir tanımdır; siber saldırganların kurbanlarına zayıf & savunmasız gibi gözüken ama aslında içinde gizli tuzaklar barındıran sözleşmeler göndererek onları oltaya düşürmeyi amaçladığı akıllı sözleşme türüne denmektedir.[1] Honeypot ile kullanıcının görünen zayıflığa odaklanması ve sözleşmenin başka bir zafiyeti bulunabileceğine ilişkin belirtileri göz ardı etmesi hedeflenir. Tüm diğer hile türlerinde olduğu gibi Honeypot saldırıları da yatırımcıların tecrübesizliği ve FOMO psikolojisi sayesinde başarıya ulaşmaktadır.
Tuzak Nasıl İşler?
Honeypot adeta bir bal tuzağı olup yatırımcıları bal küpü tuzağına çekip, onların bu tuzaktan çıkamamalarını sağlamaktır. Bir başka deyişle “elini veren kolunu kaptırır” deyiminin kripto para dünyasındaki karşılığıdır. Şöyle ki, kripto para yaratıcısı kripto koduna eklediği bir kod ile yatırımcıların yatırım yapmasına izin vermekte ancak bu yatırımların yaratıcıların kendi belirledikleri başka bir cüzdana aktarılarak, yatırımcıların yatırdıkları paraları çekmelerine izin vermemektir. Tuzak genellikle üç aşamadan oluşur.
1- Öncelikle saldırgan zayıf gibi gözüken bir sözleşme kullanır ve buna bir yem olarak bir kaynak iliştirir.
2- Akabinde tuzağın kurbanı, en az şart koşulan tutardaki kaynağı transfer ederek sözleşmeden avantaj sağlamaya çalışırken tuzağa düşer.
3- Nihayetinde dolandırıcı hem ilk başta yem niyetine koyduğu paraya hem de kandırılan yatırımcılar tarafından gönderilen paraya sahip olur.
Öte yandan bir dolandırıcının Honeypot kurabilmesi için özel nitelikler gerekmemektedir; dolandırıcının sadece bir akıllı sözleşme konuşlandırmak ve yem yerleştirmek için gereken kaynaklara sahip olması yeterlidir.[2]
Kripto Honeypot Nasıl Tespit Edilebilir?
İşlem geçmişinin incelenmesi bu tuzağı fark etmenin önemli yollarından bir tanesidir. Normal şartlarda bir kripto paranın istenilen zamanda istenildiği şekilde alım-satıma olanak sağlaması gerekmektedir. Öte yandan Honeypot tuzağında ise coin’e ilişkin çok fazla alım gözlenirken satım gözlenememektedir, zira alıcılar tuzağa düşmüştür. Bu husus meşru olmayan ve uzak durulması gereken bir coin ile karşı karşıya olunduğunun habercisidir. Hatta Lüksemburg Üniversitesi’nin konuya ilişkin çalışmada veri bilimi yaklaşımı da bu şekilde sözleşmenin geçmiş işlem hareketlerinden yola çıkarak Ethereumlarda bulunan Honeypotların tespit edilmesi üzerine olmuştur.[3]
2. Rug Pull
Kripto dünyasında görülen bir başka kötü niyetli manevra da Rug Pull’dur. İngilizcede halı anlamına gelen “rug” ve çekmek anlamına gelen “pull” kelimelerinden oluşan Rug Pull, adeta yatırımcıların ayağının altından halının çekilerek ayağının kaydırıldığı bir senaryodur. Rug Pull, kripto geliştiricilerinin projelerini terk ederek yatırımcıların parası ile kaçmasını ifade etmektedir.[4] Bu dolandırıcılık türünde bir kripto paranın, değerinden çok fazla şişirilip bir anda yatırım geldiğinde bu kripto parayı yaratan/kontrol eden dolandırıcılar tarafından terk edilmesine tanıklık edilir. Rug Pull’da amaç çeşitli yollarla “uzaya doğru gideceğine” dair spekülasyon yapılmış kripto paraya iyi niyetli yatırım yapan yatırımcıların tüm parasının suyunu çekmektir. Kripto para, çeşitli şişirilmeler sonucu belirli bir fiyata ulaştığında dolandırıcılar tüm kapitali kripto ekosisteminden dışarı transfer ederler.[5] Bu dolandırıcılığın daha belli belirsiz gerçekleştirildiği tür ise “Soft Rug” olarak ifade edilmektedir. Bu durumda aynı dolandırıcılık daha uzun bir zamana yayılarak gerçekleştirilmektedir. Dolandırıcılar tipik bir Rug Pull gerçekleşeceği endişesi yaratmamak adına fiyat yükseldikçe kripto parayı yavaş yavaş, dikkat çekmeden, tabiri caizse “damla damla” olarak satarlar.
Çoğunlukla bu tuzağı kuran yaratıcılar Twitter, Telegram ve benzeri sosyal medya platformlarda ilgili coin’in/token’ın pazarlamasını yaparak insanlarda heyecan yaratırlar ve “FOMO” ruh haline sokarlar. Hatta bu sahte heyecanı yaratmadan evvel havuzlarına önemli miktarda likidite katarak yatırımcının güvenini tesis etmeye çalışırlar.[6]
Kripto Para Dünyasında Yaşanan Emsal Vaka: SQUID Token
Rug Pull’a verilebilecek en güncel ve en çarpıcı örnek geçtiğimiz aylarda gerçekleşen SQUID Token dolandırıcılığıdır. 2021 yılının sonbaharında yayımlanan ve oldukça ses getiren Netflix’in Kore dizisi Squid Game’de yüksek meblağ bir ödül ve bu ödüle ulaşmaya çalışan yarışmacılar vardır. Ödülün tek bir kazananı olacaktır ve kaybeden her bir yarışmacı, gelecekteki kazananı ödülüne bir adım daha yaklaştıracaktır. Bu dizi tüm dünyada ses getirmiş ve akabinde çıkan SQUID Token’da filme benzer bir durum meydana gelmiş, tek kazanan SQUID’in yaratıcısı olmuştur; zira SQUID’in yaratıcısı tüm yatırımcıların parasını beraberinde götürerek ortadan kaybolmuştur. Şöyle ki, SQUID piyasaya sürüldüğünde çok ses getirmiş ve ön satışa çıkarıldığı 20 Ekim 2021 tarihinde 1 saniye içerisinde tükenmiştir.[7] 28 Ekim tarihinde son 24 saatte fiyatı %2.400 artarak fiyatı 2,22 doları bulmuş ve piyasa kapitali 174 milyon doları aşmıştır. Akabinde 1 Kasım tarihinde SQUID Token yaratıcılarının para ile birlikte kaçması sonucunda dakikalar içerisinde Token’ın fiyatı $2.861,80 dolardan 0,0007 dolara düşmüş; yatırımcılar ellerinde hiçbir değeri olmayan SQUID Token ile kalmıştır. Yatırımcıların uğradığı toplam zarar 2,5 milyon dolar olarak belirlenmiştir.
3. Kripto Para Dolandırıcılığından Nasıl Korunur?
- FOMO’ya kapılmadan önce kripto paranın kaynağı araştırın: Konuya ilişkin CNBC’nin vurgun gerçekleştirilmeden önce yaptığı habere göre[8] CoinMarketCap, SQUID Token’ın satışının gerçekleştirilemediğine ilişkin yatırımcılardan muhtelif şikayetler almış ve kullanıcılar bu token’a karşı dikkatli olunması doğrultusunda uyarılmıştır. Üstelik token’a konu filmin yapımcısı Netflix, CNBC’ye işbu kripto para ile hiçbir ilişiği olmadığını da belirtmiştir. Bu gibi hususlar göstermektedir ki bir kripto paraya yatırım yapmadan önce ilişik varmış gibi gösterilen kişi, kurum, kuruluşların gerçekten ilişiği olup olmadığını irdelemekte fayda vardır. Pazarlama stratejileri neticesinde çok kısa sürede gerçekleşen çok yüksek artışlar, kripto paranın belki de içi boş bir balon niteliğinde olabileceği konusunda bir kuşku yaratmalıdır.
- Özenli inceleme yapın: Yatırımcıların, adeta bir due diligence (özenli inceleme) süreci yürüterek coin/token yaratıcıları tarafından yayımlanan resmi raporu (“whitepaper”), coin’in/token’ın tanıtımı için hazırlanan internet sayfasını ve sosyal medya platformlarını incelenmesinde fayda vardır. Bu inceleme esnasında doğrulanmış iletişim bilgisi bulunmaması, mevcut dil bilgisi hataları ve benzeri tehlike işaretlerine dikkat edilmelidir. Nitekim SQUID Whitepaper’ında belirli koşullar gerçekleşmedikçe token satışına izin verilmeyeceği belirtilmiş olup bu durumun bir tehlike işareti olarak algılanması gerekmektedir.[9]
Diğer yatırımcıların bilgisini araştırın: Ethereum ve Binance Smart Chain gibi ağlar tarafından oluşturulan ve bu gibi yeni kripto paraların cüzdan bilgilerinin görüldüğü Etherscan, Bscscan gibi web sitelerinde kripto paranın kimlik numarası (ID) ile; ilgili coin’i/token’ı tutan kaç kişinin olduğu, yüksek miktarda coin tutan ve “balina” diye tabir edilen yatırımcıların olup olmadığı görülebilir. Ayrıca ilgili kripto paranın (aynı bir şirketin mali standartlarını göstermekte kullanılan şekilde) özel kurumlar tarafından denetlenip denetlenmediğinin de araştırılması kritik düzeyde önemlidir. Denetlenen kripto paralarda bu yazının konusu olan dolandırıcılıkların görülme ihtimali ciddi oranda azalmaktadır.
4. Honeypot ve Rug Pull Dolandırıcılığının Türk Ceza Kanunu ve Türk Sermaye Piyasası Kanunu Çerçevesinde Değerlendirilmesi
“Honeypot veya Rug Pull vurgununun mağduru olmuş bir Türk vatandaşının Türk Hukukunda arayabileceği hukuki bir çare var mıdır varsa nelerdir?” sorusuna cevap bulabilmek adına Türk Hukukunda ilgili düzenlemelerin incelenmesi ve kripto paranın hukuki niteliğinin ne olduğunun belirlenmesi gerekmektedir. Öncelikle belirtmek gerekir ki günümüz Türk Hukukunda kripto varlıklara ilişkin mevcut tek düzenleme 16 Nisan 2021 tarihli Resmi Gazete’de yayımlanan 31456 sayılı Ödemelerde Kripto Para Varlıkların Kullanılmamasına Dair Yönetmelik’tir.[10] Yönetmelik’te kripto varlık: “itibari para, kaydi para, elektronik para, ödeme aracı, menkul kıymet veya diğer sermaye piyasası aracı olarak nitelendirilmeyen gayri maddi varlıkları ifade eder ” denilmiştir. Her ne kadar bu tanım genel geçer olmayıp ilgili yönetmeliğin uygulanması açısından yapılan bir tanım olsa da an itibarıyla mevcut başka bir düzenleme olmadığından yol göstericidir.
Rug Pull niteliği itibariyle 6362 sayılı Sermaye Piyasası Kanunu’nun Piyasa Dolandırıcılığı başlıklı 107. maddesinde düzenlenen suç ile benzerlik göstermektedir: “Sermaye piyasası araçlarının fiyatlarına, fiyat değişimlerine, arz ve taleplerine ilişkin olarak yanlış veya yanıltıcı izlenim uyandırmak amacıyla alım veya satım yapanlar, emir verenler, emir iptal edenler, emir değiştirenler veya hesap hareketleri gerçekleştirenler üç yıldan beş yıla kadar hapis ve beş bin günden on bin güne kadar adli para cezası ile cezalandırılırlar.” Ne var ki kripto varlıklar sermaye piyasası aracı olarak nitelendirilmediğinden Rug Pull dolandırıcılığı nezdinde piyasa dolandırıcılığı suçunun oluştuğunu söylemek mümkün değildir.
Öte yandan gerek Honeypot gerek Rug Pull eylemleri 5237 sayılı Türk Ceza Kanunu’nun (“TCK”) uygulanabilmesine açık kapı bırakmaktadır. Dolandırıcılık suçu
TCK madde 157’de, nitelikli hali ise madde 158’de düzenlenmiştir. Buna göre suçun oluşabilmesi için failin hileli davranışta bulunması, mağdurun bu davranışa aldanması ve failin bunun sonucunda kendisine veya başkasına yarar sağlaması gerekmektedir. Dolandırıcılığı malvarlığına karşı işlenen diğer suçlardan ayıran en önemli özellik; mağdurun, suç konusunun zilyetliğini kendi isteğiyle faile vermesi, fakat bunu hileli davranış sebebiyle iradesi sakatlanmışken yapmasıdır. TCK madde 158/1-f’ye göre dolandırıcılık suçunun “Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle” işlenmesi nitelikli hal olarak sayılmıştır. Kanunda bilişim sistemi tanımlanmamış olmakla beraber doktrinde “verileri saklama, toplama, işleme, değerlendirme ve aktarma olanağı veren sistemler” olarak tanımlanmıştır.
Kripto paralar blok zincirlere kaydedilmekte olup blok zinciri TÜBİTAK tarafından “Dijital para birimlerini, varlıkları ve emtiaları besleyen blok zinciri teknolojisi, dağıtılmış bir veri tabanı ya da paylaşılmış kayıt (muhasebe) defter” olarak tanımlanmıştır. Bu nedenle kripto paraları konu edinen dolandırıcılık fiillerinin bu kapsamda değerlendirilmesi gerekecektir. Üstelik kripto para borsası bir bilişim sistemi olduğundan fiilin suçun nitelikli hali açısından değerlendirilmesi gerekmektedir. Gerek Honeypot gerek Rug Pull dolandırıcılığında mağdur hileli davranışlarla zarara uğratılmış ve mağdurun zararı coin yaratıcısının yararına olmuştur. Lakin her ne kadar TCK anlamında dolandırıcılık suçunun oluştuğu kabul edilse dahi dolandırıcıların kimliklerinin ve kaynakları nereye akıttıklarının tespitinin çetrefilli olduğunu belirtmekte fayda vardır.
Sonuç
Kripto para dünyası sadece gözleri parlatan kâr vaatleri sunmakla kalmamakta aynı zamanda çeşitli riskleri de beraberinde getirmektedir. Honeypot ve Rug Pull örnekleri göstermektedir ki pek çok insan yeterli bilgi birikimine sahip olmadan ve gerekli özeni gösterip araştırma yapmaksızın kripto para geliştiricilerin pazarlama taktiklerine kanıp tuzağa düşmekte, ciddi zararlara uğrayabilmektedir. Günümüzde hukuk, teknolojinin hızına hemen adapte olamamakta, yasada boşluklar oluşabilmekte ve bu nedenle bu tarz dolandırıcılık durumlarında hakkın yasal yollarla tesisi de pek kolay olmayabilmektedir. Bu nedenle kripto para dünyasını, muhtemel kripto para suçlarını düzenleyen kapsamlı yasalar yürürlüğe girmediği müddetçe kripto para yatırımcılarının “Tedbir, tedaviden iyidir.” yaklaşımını benimsemesinde ve yatırım yapmadan önce ciddi bir özenle araştırma yapmasında fayda bulunmaktadır.
[1] Torres, Steichen, State. The Art of The Scam: Demystifying Honeypots in Ethereum Smart Contracts, arXiv:1902.06976
[2] https://cointelegraph.com/news/what-is-a-honeypot-crypto-scam-and-how-to-spot-it
[3] Camino, Ramiro & Torres, Christof & State, Radu. (2019). A Data Science Approach for Honeypot Detection in Ethereum https://www.researchgate.net/publication/336251271_A_Data_Science_Approach_for_Honeypot_Detection_in_Ethereum
[4] https://coinmarketcap.com/alexandria/glossary/rug-pull
[5] What to do if you are caught in a “Rug”? - Lexology
[6] https://coinmarketcap.com/alexandria/glossary/rug-pull
[7] https://www.cnbc.com/2021/10/28/squid-game-cryptocurrency-up-nearly-2400percent-in-the-last-24-hours.html
[8] https://www.cnbc.com/2021/10/28/squid-game-cryptocurrency-up-nearly-2400percent-in-the-last-24-hours.html
[9] What to do if you are caught in a “Rug”? - Lexology
[10] https://www.resmigazete.gov.tr/eskiler/2021/04/20210416-4.htm
-
Kemal Altuğ Özgün
Managing Partner
-
Sezi Atmaca
Associate