Hacker, Kimlik Avı ile $10 Milyon'u Tornado Cash'e transfer etti.

Başlangıçta $24 milyon değerinde kripto para varlıklarını tehlikeye atan sofistike bir kimlik avı saldırısında yeni gelişmeler yaşandı. Blockchain güvenlik araştırmacıları, $10 milyonun bir karıştırma hizmetine taşındığını tespit etti.

CertiK, önde gelen bir blockchain güvenlik firması, 21 Mart'ta, Eylül 2023'teki büyük bir oltalama olayına karışan cüzdanlardan birinin 3,700 ETH ( yaklaşık $10 milyon) Tornado Cash'a, işlem izlerini gizlemekle tanınan bir kripto para karıştırma hizmetine transfer ettiğini bildirdi.

Fonlar, 6 Eylül 2023 tarihinde gerçekleşen önemli bir güvenlik ihlalinden kaynaklandı; bu olayda bir kripto para "balinası" (, önemli dijital varlıklar tutan bir birey, Rocket Pool likidite staking protokolü aracılığıyla ) milyon değerinde staked ETH kaybetti. Saldırı, iki farklı aşamada gerçekleşti; ilk ihlalde 9,579 stETH kaldırıldı, ardından ise bir sonraki işlemde 4,851 rETH çalındı.

Saldırı Vektörünün Teknik Analizi

Scam Sniffer projesinden güvenlik araştırmacıları, bu saldırıda istismar edilen temel güvenlik açığının mağdurun "İzin Artır" işlemini onaylamasıyla ilgili olduğunu belirledi. ERC-20 token standardındaki bu kritik teknik mekanizma, üçüncü şahısların başka bir cüzdana ait token'ları harcamasına olanak tanır - ancak yalnızca açıkça cüzdan sahibinin onayı ile.

Saldırgan, bu işlevselliği kullanarak mağdurun token'larını kendi kontrolündeki adreslere transfer etmek için onay aldı. Verilen bu yetkiler, saldırgana mağdurun varlıklarını birden fazla işlemle sistematik olarak boşaltma imkanı tanıdı.

Bu istismar, güvenlik çevrelerinde, bu yetkilendirme mekanizmalarını manipüle etmek için kötü niyetli kod içerebilecek doğrulanmamış akıllı sözleşmelerle etkileşimde bulunurken token onaylarının doğuştan gelen riskleri hakkında önemli bir tartışma başlattı.

Çalınan Varlıkların İzlenmesi

PeckShield, olayı izleyen bir başka blockchain güvenlik firması, saldırganın çalınan varlıkları 13,785 ETH ve yaklaşık 1.64 milyon Dai stabilcoin'e nasıl dönüştürdüğünü belgeledi. Saldırgan daha sonra DAI'nın bir kısmını FixedFload borsa hesabına taşırken, geri kalan çalınan fonları izlemeyi zorlaştırmak için birden fazla cüzdana dağıttı.

Son dönemde Tornado Cash'e yapılan transfer, bu yasadışı olarak elde edilen varlıkların kaynağını daha da gizlemek için önemli bir girişimi temsil etmektedir. Karıştırma hizmetleri, gönderim ve alım adresleri arasındaki zincir üzerindeki bağlantıyı kırmak için birden fazla kaynaktan gelen kripto paraları harmanlar.

Daha Geniş Güvenlik Etkileri

Bu olay, kripto para sektöründeki oltalama saldırılarının sürekli tehdidini vurgulamaktadır. Scam Sniffer projesinin Şubat raporuna göre, yalnızca o ay içinde $24 milyon kaybedildi. Raporda ayrıca, bu hırsızlıkların %78'inin Ethereum ağı üzerinde gerçekleştiği ve ERC-20 tokenlarının çalınan tüm fonların %86'sını oluşturduğu ortaya kondu.

Token onayları etrafındaki güvenlik endişeleri, son zamanlarda meydana gelen ek olaylarla daha da güçlendi. 20 Mart'ta, Dolomite borsası tarafından daha önce kullanılan eski bir sözleşme, sözleşmeye izin vermiş kullanıcılardan 1.8 milyon doları boşaltmak için istismar edildi. Buna karşılık, Dolomite'in geliştirme ekibi, kullanıcıları hemen ihlal edilen sözleşme adresine verilen tüm onayları iptal etmeye çağırdı.

Güvenlik Yanıtı Örnekleri

Bazı güvenlik ihlalleri ciddi finansal kayıplara yol açarken, hızlı yanıtlar zararı azaltabilir. Örneğin, Layerswap'ın web sitesi 20 Mart'ta tehlikeye girdiğinde, ekibin alan adı sağlayıcılarıyla hızlı koordinasyonu saldırıyı sınırlamaya yardımcı oldu. Bu hızlı yanıtına rağmen, yaklaşık 50 kullanıcı 100.000 $ değerinde varlık kaybetti. Layerswap, etkilenen kullanıcılar için tam geri ödeme ve olay için ek tazminat duyurdu.

Phishing saldırılarının artan karmaşıklığı, kripto para kullanıcıları arasında güvenlik farkındalığının kritik önemini vurgulamaktadır. Token onaylarını gözden geçirmeye ve sınırlamaya, imzalamadan önce işlem detaylarını doğrulamaya ve önemli varlıklar için donanım cüzdanları gibi ek güvenlik önlemleri uygulamaya özel önem verilmelidir.

Bu olaylar göstermektedir ki, deneyimli kripto para kullanıcıları bile karmaşık sosyal mühendislik ve teknik istismarların kurbanı olabilir. Güvenlik firmaları, protokol geliştiricileri ve kullanıcı eğitim girişimleri arasındaki sürekli iş birliği, dijital varlık ekosisteminin genel güvenlik duruşunu iyileştirmek için hayati önem taşımaktadır.