Kimliği belirsiz bir kripto yatırımcısı, bilmeden kötü niyetli bir sözleşmeye onay verdikten sonra oldukça koordineli bir kimlik avı saldırısında 3 milyon dolardan fazla kaybetti.
11 Eylül’de blockchain araştırmacısı ZachXBT, kurbanın cüzdanının 3.047 milyon dolarlık USDC ile boşaltıldığını ilk belirten oldu.
Saldırgan, bu stabilcoinleri hızla Ethereum’a çevirdi ve geliri, çalınan fonların akışını gizlemek için sıklıkla kullanılan bir gizlilik protokolü olan Tornado Cash’e aktardı.
Sömürünün Nasıl Gerçekleştiği
SlowMist’in kurucusu Yu Xian, tehlikeye giren adresin 2-of-4 Safe çoklu imza cüzdanı olduğunu açıkladı.
Xian, ihlalin, kurbanın niyet ettiği alıcıyı taklit eden bir adrese transferleri onaylayan iki ardışık işlemde ortaya çıktığını söyledi.
Saldırgan, dolandırıcılık sözleşmesini, meşru olanı yansıtan ilk ve son karakterlerle oluşturdu, bu nedenle tespiti zordu.
Xian, sömürünün, Safe Multi Send mekanizmasını kullanarak anormal onayı rutin bir yetkilendirme gibi gösterdiğini ekledi.
Xian şunları yazdı:
“Bu anormal yetkilendirme, standart bir onay olmadığı için tespit etmesi zordu.”
Scam Sniffer’a göre, saldırgan zemini önceden iyi bir şekilde hazırlamıştı. Neredeyse iki hafta önce Etherscan tarafından doğrulanmış sahte bir sözleşme uyguladılar, bunu meşru görünmesi için çoklu “toplu ödeme” fonksiyonlarıyla programladılar.
Sömürünün gerçekleştiği gün, kötü niyetli onay, Request Finance uygulama arayüzü aracılığıyla yürütüldü, bu da saldırgana kurbanın fonlarına erişim hakkı verdi.
Buna yanıt olarak, Request Finance, kötü niyetli bir aktörün Batch Payment sözleşmesinin sahte bir versiyonunu uyguladığını kabul etti. Şirket, sadece bir müşterinin etkilendiğini ve güvenlik açığının düzeltildiğini belirtti.
Yine de, Scam Sniffer, kimlik avı olayıyla ilgili daha geniş endişeleri vurguladı.
Blockchain güvenlik firması, benzer sömürülerin çeşitli vektörlerden kaynaklanabileceği konusunda uyardı; bunlar arasında uygulama güvenlik açıkları, işlemleri değiştiren zararlı yazılımlar veya tarayıcı uzantıları, tehlikeye giren ön yüzler veya DNS’nin ele geçirilmesi bulunuyor.
Daha da önemlisi, doğrulanmış sözleşmelerin ve neredeyse aynı adreslerin kullanılması, saldırganların kullanıcı incelemesini atlatmak için yöntemlerini nasıl geliştirdiklerini gösteriyor.
Bir yanıt yazın