$10 Milyon Kimlik Avı Saldırısı: Hacker Çalınan ETH'yi Tornado Cash'e Aktarıyor

Önemli bir siber güvenlik olayında, bir hacker, Eylül 2023'teki bir kimlik avı saldırısından $10 milyon değerinde Eter'i kripto para karıştırma hizmeti Tornado Cash'e taşıdı ve dijital varlık alanındaki devam eden güvenlik sorunlarını vurguladı.

Saldırı Ayrıntıları ve Fon Hareketleri

21 Mart'ta, blockchain güvenlik firması CertiK, büyük bir kripto para hırsızlığına bağlı bir hesabın 3,700 Eter'i Tornado Cash'e transfer ettiğini tespit etti. Bu fonlar, 6 Eylül 2023'te gerçekleşen sofistike bir kimlik avı saldırısı aracılığıyla meydana gelen daha büyük $24 milyon dolarlık hırsızlığın bir parçasıydı.

Kurban, önemli dijital varlıklara sahip bir kripto para "balinası" ( olarak tanımlanıyor, iki aşamalı bir saldırıda fonlarını kaybetti. İlk olarak, 9,579 stETH alındı, ardından 4,851 rETH—her iki token da Rocket Pool likidite staking hizmeti aracılığıyla stake edilmiş Eter'i temsil ediyor.

Saldırıdan sonraki fon akış modeli:

• Çalınan varlıkların 13,785 Eter'e dönüştürülmesi
• Varlıkların 1.64 milyon Dai'ye ek dönüşümü
• Bazı DAI'nin FixedFload borsasına transferi
• Çalınan kalan fonların birden fazla cüzdana dağıtımı

İhlalin Teknik Analizi

Saldırı, token onay mekanizmalarının istismar edilmesi yoluyla başarılı oldu. Dolandırıcılık tespit projesi Scam Sniffer'a göre, mağdur bir "İzin Artır" işlemini onayladı, bu da saldırganın kendi kullanımı için token'ları onaylamasına olanak tanıdı.

Bu istismar, üçüncü şahısların başkalarının sahip olduğu tokenleri harcamasına izin veren standart bir ERC-20 işlevselliğini kullanıyor - ancak yalnızca uygun yetkilendirme ile. Ne yazık ki, oltalama senaryolarında, mağdurlar bu yetkilendirmeyi aldatıcı arayüzler veya işlemler aracılığıyla bilmeden sağlarlar.

Olay, akıllı sözleşme onaylarıyla ilişkilendirilebilecek potansiyel riskler hakkında kripto para güvenlik çevrelerinde önemli tartışmalara yol açtı; bu onaylar kötü niyetli amaçlarla kullanılabilir.

Daha Geniş Güvenlik Manzarası

Phishing saldırıları, kripto para sahipleri için sürekli bir tehdit olmaya devam ediyor. Scam Sniffer'dan gelen son rapora göre, sadece Şubat ayında phishing ile ilgili planlar yüzünden neredeyse ) milyon kaybedildi ve bunların %78'i Ethereum ağı üzerinde gerçekleşti. ERC-20 token'ları çalınan tüm fonların %86'sını temsil etti.

Kripto para sektörü son zamanlarda birkaç önemli güvenlik olayı yaşadı:

• 20 Mart'ta, Dolomite borsası tarafından daha önce kullanılan eski bir sözleşme istismar edildi ve sözleşmeyi onaylayan kullanıcılardan 1.8 milyon $ çekildi.

• O aynı gün, Layerswap ekibi web siteleri tehlikeye girdiğinde daha fazla zarar verilmesini başarılı bir şekilde önledi, ancak hackerlar yine de yaklaşık 100.000 $ tutarında parayı yaklaşık 50 kullanıcıdan çalmayı başardı. Layerswap, etkilenen kullanıcılara geri ödeme yapma ve ek tazminat sağlama sözü verdi.

Dijital Varlık Sahipleri için Güvenlik Etkileri

Bu olaylar, akıllı sözleşme etkileşimlerini ve token onaylarını yetkilendirirken dikkatli olmanın kritik önemini vurgulamaktadır. Token onay fonksiyonlarının istismarı, saldırganların meşru blockchain özelliklerini kötü niyetli amaçlar için nasıl kullanabileceğini göstermektedir.

Profesyonel ticaret platformları ve güvenlik uzmanları, cüzdan izinleri ve token onaylarının düzenli güvenlik denetimlerini önermektedir. Kullanıcılar, saldırı yüzeylerini en aza indirmek için gereksiz sözleşme izinlerini periyodik olarak gözden geçirmeli ve iptal etmelidir.

Karmaşık kimlik avı girişimleri kripto para sahiplerini hedef almaya devam ederken, güvenlik firmaları, ticaret platformları ve kullanıcılar arasında iş birliği, dijital varlık ekosistemi için geliştirilen geliştirilmiş koruma mekanizmaları ve güvenlik protokolleri oluşturmak için giderek daha hayati hale geliyor.