Hacker, $10 Milyon Kimlik Avı Loot'u Tornado Cash'e aktarıyor.

Geçen yıl bir kripto para “balinası” sofistike bir kimlik avı saldırısına kurban gitti ve sonucunda $10 milyon değerinde Eter'in Tornado Cash'e, kötü şöhretli bir kripto para karıştırma hizmetine, yetkisiz olarak transfer edilmesine neden oldu.

21 Mart'ta, CertiK, Eylül 2023 siber saldırısıyla bağlantılı bir hesabı tespit etti ve bu hesap, kurbanından $24 milyon siphonladı. Saldırı iki aşamada gerçekleşti ve yatırımcının Rocket Pool staking hizmetinden 9,579 stETH ve 4,851 rETH'sini aldı.

Bu saldırıların bu kadar basit mekanizmalarla nasıl başarılı olduğuna her zaman hayran kalıyorum. Bu durumda, kurban bir “İzin Artır” işlemini onayladı - bu da esasen bilgisayar korsanına token'larını harcama izni vermek demek. Bu, birine cüzdanınızı vermek ve paranın alındığında şaşırmak gibi.

Kripto topluluğu, token onaylarını kapsamlı bir şekilde tartışıyor ve bunun iyi bir nedeni var. Bu akıllı sözleşme fonksiyonları, meşru kullanımlar için uygun olsa da kötüye kullanıldığında yıkıcı olan iki ucu keskin kılıçlardır. Saldırgan, çalınan varlıkları 13,785 Eter ve 1.64 milyon Dai'ye akıllıca dönüştürdü ve izlerini gizlemek için bunları çeşitli cüzdanlara dağıttı.

Şubat ayının istatistikleri daha da alarm verici - tek bir ayda neredeyse $47 milyon phishing dolandırıcılığına kurban gidildi! Eter kullanıcıları, bu hırsızlıkların %78'ini oluşturduğundan özellikle savunmasız görünüyor. Ethereum'un ekosisteminin karmaşıklığının kullanıcıları bu saldırılara daha yatkın hale getirip getirmediğini merak ediyorum.

Dolomite borsa kullanıcılarından eski bir sözleşme aracılığıyla gerçekleşen 1.8 milyon dolarlık son drain, unutulmuş onayların tehlikelerini daha da vurguluyor. Birçok kullanıcı, bu izinlerin açıkça iptal edilmediği sürece sonsuza kadar devam ettiğini fark etmiyor.

Tüm saldırılar tamamen başarılı olmaz - Layerswap'ın hızlı yanıtı, son saldırılarını yaklaşık 50 kullanıcıdan “yalnızca” 100.000 $ ile sınırladı. İadeler ve tazminatlar vaat etmiş olsalar da, kullanıcıların güvenine verilen psikolojik zarar devam ediyor.

Bu olaylar, endişe verici bir gerçeği ortaya koyuyor: Yıllardır süren uyarılara rağmen, oltalama kripto para dünyasında yıkıcı derecede etkili olmaya devam ediyor. Blockchain'in teknik karmaşıklığı, sosyal mühendislik karşısındaki insan savunmasızlığı ile keskin bir şekilde tezat oluşturuyor. Bu boşluğu daha iyi eğitim ve güvenlik araçlarıyla kapatana kadar, milyonlarca insan, insan güvenini istismar etmenin genellikle kriptografiyi kırmaktan daha kolay olduğunu anlayan saldırganlara akmaya devam edecek.