EIP-7702 akıllı hesaplarına yükseltilmiş bir Ethereum cüzdanı, kimlik avı dolandırıcılarına çeşitli memecoin'lerde 146.551 $ kaybetti. Blok zinciri güvenlik firması Scam Sniffer, olayın kötü niyetli toplu işlemler aracılığıyla fonların çalındığını belirtti.
Firma tarafından, mağdur 0xc6d289d'nin kötü niyetli toplu işlemleri imzaladığı, bu sayede saldırganların fonları çekmesine izin verdiği belirtildi. Dolandırıcılar saldırıyı gerçekleştirmek için 0xC83De81A ve 0x33dAD2b kullandı.
Olayın ardından Siber Güvenlik uzmanı Yu Xian, kimlik avı istismarının çok yaratıcı olduğunu belirtti ve olayın arkasındaki popüler kimlik avı grubu Inferno Drainer'ı tespit etti. Grup, kapandığını açıkça iddia etmişti, ancak Check Point Research tarafından yakın zamanda yayınlanan bir rapor, kötü amaçlı yazılımının kullanımda olduğunu ve son altı ayda 9 milyon doların üzerinde kripto varlığı çalmak için kullanıldığını gösteriyor.
Xian, blok zinciri güvenlik firması Slow Mist'in kurucusu, dolandırıcıların dışarıdan sahip olunan (EOA) adresini bir kimlik avı adresine geçirmediğini belirtti. Bunun yerine, Metamask EIP-7702 delegatöründeki bir mekanizmayı kullanarak toplu yetkilendirme kimlik avı ve token çalma işlemini tamamladılar.
O dedi ki:
"Biraz yaratıcı demek istediğim, bu sefer kullanıcının EOA adresinin 7702 sözleşme adresine phishing yoluyla geçmediğidir. Diğer bir deyişle, devredilen adres bir phishing adresi değil, birkaç gün önce var olan MetaMask'tır: EIP-7702 Delegator Ox63c0c19a2."
Bu, olayı EIP-7702 özelliğini istismar etme girişimlerinden daha karmaşık hale getiriyor. Mekanizma aracılığıyla, saldırganlar mağdurun adresinden çalacakları tokenleri seçebiliyorlardı. Xian, bunun, oltalama çetelerinin kullanıcıların fonlarını çalmak için nasıl yeni ve yaratıcı yollar bulmaya devam ettiğini gösterdiğini ekledi. Bu nedenle, kripto kullanıcılarının varlıklarını kaybetmemek için dikkatli olmaları gerekiyor.
Saldırganların kullanıcının cüzdanını nasıl ele geçirdiği konusunda, kurbanın muhtemelen bir oltalama web sitesini ziyaret ettiğini ve dikkat etmeden işlemi onayladığını açıkladı.
EIP-7702'yi istismar eden phishing dolandırıcıları
Olay, birkaç hafta önce Pectra güncellemesi ile tanıtılan EIP-7702 hesap soyutlama özelliğinin güvenliği hakkında daha fazla soru gündeme getiriyor. Tanıtımından bu yana, birçok kişi bunu benimsemiş durumda ve Wintermute Research'ten Dune Analytics verileri, 48.000'den fazla delegasyonu gösteriyor.
Bu özellik, Ethereum kullanıcılarının (EOA) dışarıdan sahip olunan hesapları için akıllı sözleşme cüzdan yeteneklerini geçici olarak etkinleştirmelerine olanak tanır; bu, kontrolü çalıştırmak istedikleri bir adresin koduna devrederek yapılır.
Genel olarak, EOA'lar gaz sponsorluğu, alternatif kimlik doğrulama ve işlem toplama gibi işlevleri olmayan temel Ethereum hesaplarıdır. Bu özelliklerle, kullanıcılar aynı temel hesaptan geliştirilmiş bir deneyim elde eder.
Ancak, kullanıcı deneyimini geliştirmek amacıyla yapılan bu değişiklikler, kullanıcıları yeni risklere maruz bırakıyor. Yetkilendirilmiş 7702 delegatörün önemli bir kısmı, kullanıcıların fonlarını çalan kötü niyetli sözleşmelerden oluşuyor ve Dune Analytics verileri, 175 deleGate sözleşmesinin %36.3'ünün suç olarak etiketlendiğini gösteriyor.
GoPlus Security'e göre, etkilenen EOA'lara gönderilen fonlar otomatik olarak dolandırıcının adresine yönlendirilmektedir. Bu, oltalama saldırganlarının enfekte olmuş adresler için gönderilen fonları çalmasını sağlamaktadır.
Kullanıcılara kimlik avı dolandırıcılıklarına karşı kendilerini korumaları konusunda uyarıda bulunuldu.
Bu arada, yeni tehdit vektörlerinin ortaya çıkması, uzmanların kripto kullanıcılarının daha dikkatli olmaları gerektiğini belirtmelerine neden oldu. Xian, kullanıcıların token'ların herhangi bir anormal yetkilendirmesini kontrol etmeleri ve bunların bir kimlik avı adresine devredilmediğinden emin olmaları gerektiğini belirtti.
Onlar, blok tarayıcıları aracılığıyla yetkilendirme kayıtlarını görüntüleyerek bunu kontrol edebilecekleri ve EIP-7702'yi destekleyen bir cüzdana geçerek bu tür yetkilendirmeleri iptal edebileceklerini tavsiye etti.
Önde gelen Ethereum cüzdanı MetaMask, kullanıcıları cüzdanlarını akıllı sözleşme hesaplarına yükseltmelerini talep eden herhangi bir harici bağlantıya veya e-postaya tıklamamaları konusunda uyardı. Cüzdandaki bir açılır pencerede, akıllı bir hesaba geçiş için herhangi bir istemin cüzdan içinde olacağı belirtildi.
Web3 güvenlik firması GoPlus, yetkilendirme adreslerini doğrulama, sözleşme kaynak kodunu doğrulama ve açık olmayan sözleşmelerle dikkatli olma gibi önemli güvenlik önlemlerini de vurguladı.
Cryptopolitan Akademisi: Çok Yakında - 2025'te DeFi ile Pasif Gelir Elde Etmenin Yeni Yolu. Daha Fazla Bilgi Edinin
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Yeni Ethereum özelliği, lansmanından sadece birkaç hafta sonra 146.000 dolarlık bir phishing soygununda kullanıldı.
EIP-7702 akıllı hesaplarına yükseltilmiş bir Ethereum cüzdanı, kimlik avı dolandırıcılarına çeşitli memecoin'lerde 146.551 $ kaybetti. Blok zinciri güvenlik firması Scam Sniffer, olayın kötü niyetli toplu işlemler aracılığıyla fonların çalındığını belirtti.
Firma tarafından, mağdur 0xc6d289d'nin kötü niyetli toplu işlemleri imzaladığı, bu sayede saldırganların fonları çekmesine izin verdiği belirtildi. Dolandırıcılar saldırıyı gerçekleştirmek için 0xC83De81A ve 0x33dAD2b kullandı.
Olayın ardından Siber Güvenlik uzmanı Yu Xian, kimlik avı istismarının çok yaratıcı olduğunu belirtti ve olayın arkasındaki popüler kimlik avı grubu Inferno Drainer'ı tespit etti. Grup, kapandığını açıkça iddia etmişti, ancak Check Point Research tarafından yakın zamanda yayınlanan bir rapor, kötü amaçlı yazılımının kullanımda olduğunu ve son altı ayda 9 milyon doların üzerinde kripto varlığı çalmak için kullanıldığını gösteriyor.
Xian, blok zinciri güvenlik firması Slow Mist'in kurucusu, dolandırıcıların dışarıdan sahip olunan (EOA) adresini bir kimlik avı adresine geçirmediğini belirtti. Bunun yerine, Metamask EIP-7702 delegatöründeki bir mekanizmayı kullanarak toplu yetkilendirme kimlik avı ve token çalma işlemini tamamladılar.
O dedi ki:
"Biraz yaratıcı demek istediğim, bu sefer kullanıcının EOA adresinin 7702 sözleşme adresine phishing yoluyla geçmediğidir. Diğer bir deyişle, devredilen adres bir phishing adresi değil, birkaç gün önce var olan MetaMask'tır: EIP-7702 Delegator Ox63c0c19a2."
Bu, olayı EIP-7702 özelliğini istismar etme girişimlerinden daha karmaşık hale getiriyor. Mekanizma aracılığıyla, saldırganlar mağdurun adresinden çalacakları tokenleri seçebiliyorlardı. Xian, bunun, oltalama çetelerinin kullanıcıların fonlarını çalmak için nasıl yeni ve yaratıcı yollar bulmaya devam ettiğini gösterdiğini ekledi. Bu nedenle, kripto kullanıcılarının varlıklarını kaybetmemek için dikkatli olmaları gerekiyor.
Saldırganların kullanıcının cüzdanını nasıl ele geçirdiği konusunda, kurbanın muhtemelen bir oltalama web sitesini ziyaret ettiğini ve dikkat etmeden işlemi onayladığını açıkladı.
EIP-7702'yi istismar eden phishing dolandırıcıları
Olay, birkaç hafta önce Pectra güncellemesi ile tanıtılan EIP-7702 hesap soyutlama özelliğinin güvenliği hakkında daha fazla soru gündeme getiriyor. Tanıtımından bu yana, birçok kişi bunu benimsemiş durumda ve Wintermute Research'ten Dune Analytics verileri, 48.000'den fazla delegasyonu gösteriyor.
Bu özellik, Ethereum kullanıcılarının (EOA) dışarıdan sahip olunan hesapları için akıllı sözleşme cüzdan yeteneklerini geçici olarak etkinleştirmelerine olanak tanır; bu, kontrolü çalıştırmak istedikleri bir adresin koduna devrederek yapılır.
Genel olarak, EOA'lar gaz sponsorluğu, alternatif kimlik doğrulama ve işlem toplama gibi işlevleri olmayan temel Ethereum hesaplarıdır. Bu özelliklerle, kullanıcılar aynı temel hesaptan geliştirilmiş bir deneyim elde eder.
Ancak, kullanıcı deneyimini geliştirmek amacıyla yapılan bu değişiklikler, kullanıcıları yeni risklere maruz bırakıyor. Yetkilendirilmiş 7702 delegatörün önemli bir kısmı, kullanıcıların fonlarını çalan kötü niyetli sözleşmelerden oluşuyor ve Dune Analytics verileri, 175 deleGate sözleşmesinin %36.3'ünün suç olarak etiketlendiğini gösteriyor.
GoPlus Security'e göre, etkilenen EOA'lara gönderilen fonlar otomatik olarak dolandırıcının adresine yönlendirilmektedir. Bu, oltalama saldırganlarının enfekte olmuş adresler için gönderilen fonları çalmasını sağlamaktadır.
Kullanıcılara kimlik avı dolandırıcılıklarına karşı kendilerini korumaları konusunda uyarıda bulunuldu.
Bu arada, yeni tehdit vektörlerinin ortaya çıkması, uzmanların kripto kullanıcılarının daha dikkatli olmaları gerektiğini belirtmelerine neden oldu. Xian, kullanıcıların token'ların herhangi bir anormal yetkilendirmesini kontrol etmeleri ve bunların bir kimlik avı adresine devredilmediğinden emin olmaları gerektiğini belirtti.
Onlar, blok tarayıcıları aracılığıyla yetkilendirme kayıtlarını görüntüleyerek bunu kontrol edebilecekleri ve EIP-7702'yi destekleyen bir cüzdana geçerek bu tür yetkilendirmeleri iptal edebileceklerini tavsiye etti.
Metamask kullanıcılarına uyarı (Kaynak: GoPlus Güvenlik)
Önde gelen Ethereum cüzdanı MetaMask, kullanıcıları cüzdanlarını akıllı sözleşme hesaplarına yükseltmelerini talep eden herhangi bir harici bağlantıya veya e-postaya tıklamamaları konusunda uyardı. Cüzdandaki bir açılır pencerede, akıllı bir hesaba geçiş için herhangi bir istemin cüzdan içinde olacağı belirtildi.
Web3 güvenlik firması GoPlus, yetkilendirme adreslerini doğrulama, sözleşme kaynak kodunu doğrulama ve açık olmayan sözleşmelerle dikkatli olma gibi önemli güvenlik önlemlerini de vurguladı.
Cryptopolitan Akademisi: Çok Yakında - 2025'te DeFi ile Pasif Gelir Elde Etmenin Yeni Yolu. Daha Fazla Bilgi Edinin