Bir kripto para trader’ı, gelişmiş bir “adres zehirleme” saldırısının kurbanı olduktan sonra Tether’ın USDT’inde 50 milyon dolar kaybetti.
20 Aralık’ta, blockchain güvenlik şirketi Scam Sniffer saldırının, mağdurun kendi adresine 50 dolarlık küçük bir test transferi göndermesiyle başladığını bildirdi.
SponsoredAddress Poisoning Dolandırıcılığı Nasıl Gelişti
Dikkat çekici şekilde, trader’lar bu yöntemi genellikle fonlarını doğru adrese gönderdiklerinden emin olmak için kullanıyor.
Ancak bu hareket, saldırganın kontrolündeki bir otomatik script’i tetikledi ve hemen “sahte” bir cüzdan adresi oluşturuldu.
Bu sahte adres, alıcının adresinin başı ve sonunu tamamen eşleştirecek şekilde tasarlanmış. Farklılıklar, yalnızca ortadaki karakterlerde gizli olduğu için bu dolandırıcılığı göz ucuyla fark etmek neredeyse imkansız hale geliyor.
Saldırgan, ardından bu sahte adresten mağdurun cüzdanına sembolik bir miktarda kripto para gönderdi.
Sponsored SponsoredBöylece, sahte adres mağdurun son işlemler listesine girdi; çoğu cüzdan arayüzü ise bu adresleri yalnızca kısaltılmış şekilde gösteriyor.
Mağdur, bu görsel kısaltmalara güvenerek işlemler geçmişinden adresi kopyaladı ve tam karakter dizisini kontrol etmedi. Yani, fonlarını güvenli kişisel cüzdanına aktarmak yerine, trader doğrudan saldırgana 49.999.950 USDT gönderdi.
Fonları aldıktan sonra, kötü niyetli saldırgan zincir üstü kayıtlara göre varlıklarına el konulması riskini en aza indirmek için hızla harekete geçti. Hemen çalınan USDT’yi, ihraççısı tarafından dondurulabilen bir varlık olduğu için MetaMask Swap üzerinden DAI stablecoin’e çevirdi.
Saldırgan ardından bu varlıkları yaklaşık 16.680 ETH’ye dönüştürdü.
Sponsored Sponsoredİzleri daha da silmek için saldırgan ETH’leri Tornado Cash‘e yatırdı. Merkeziyetsiz bir karıştırıcı olan bu uygulama, göndericiyle alıcı adresleri arasındaki görünür bağlantıyı tamamen koparmak için tasarlanmış.
Mağdur 1 milyon Dolar ödül teklif ediyor
Varlıklarını geri almak için çaresiz kalan mağdur, zincir üstü bir mesaj yollayarak çalınan fonların %98’i karşılığında 1 milyon dolarlık beyaz şapkalı ödül teklif etti.
SponsoredMağdur, ilettiği mesajında şu ifadeleri kullandı: ‘Resmi olarak suç duyurusunda bulunduk. Polis, siber güvenlik ekipleri ve birçok blockchain protokolünden aldığımız destekle faaliyetleriniz hakkında önemli ve eyleme geçirilebilir istihbarat elde ettik’ dedi. (Kaynak)
Mesajda saldırgana, 48 saat içinde uymazsa “amansız” yasal işlemler başlatılacağı uyarısı da iletildi.
Mağdur ayrıca şu ifadeleri kullandı: ‘Uymamanız halinde bu konuyu hukuki ve uluslararası güvenlik mercileriyle tırmandıracağız. Kimliğiniz tespit edilip ilgili makamlara bildirilecek. Tam adalet sağlanana kadar cezai ve medeni bütün yolları sonuna kadar zorlayacağız. Bu bir ricadan ibaret değil. Dönülmez sonuçlar doğurmadan önce son şansınız veriliyor’ dedi.
Olay, dijital cüzdanlar’ın işlem bilgisini nasıl gösterdiğine dair kalıcı bir güvenlik açığına ve saldırganların blockchain kodundaki açıkları değil, kullanıcının işlem alışkanlıklarını suistimal ettiğine dikkat çekiyor.
Güvenlik analistleri, cüzdan uygulamalarının tasarım kolaylığı için adresleri kısaltarak göstermesinin sürekli bir tehdit oluşturduğu yönünde defalarca uyarıda bulundu.
Eğer bu sorun çözülmezse, saldırganlar kullanıcıların adresin yalnızca başını ve sonunu kontrol etme alışkanlığını sömürmeye devam edecek gibi görünüyor.
