Bir blok zinciri güvenlik şirketi Forta Network'e göre dolandırıcılar, sıradan kullanıcılardan çaldıkları kripto paraları toplamak için mayıs ayında en az 7,905 blok zinciri cüzdanı açtı.

Yakın zamanda kendi token’ını piyasaya süren Forta; Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum ve Fantom gibi blok zincirlerinde çeşitli dolandırıcılık türlerini tespit eden bir bot ağı işletiyor.

Forta'da araştırmacı olan ve daha önce Microsoft'un güvenlik araştırma bölümünde çalışan Christian Seifert, CoinDesk'e verdiği röportajda Forta'nın algoritmalarının blok zincirlerindeki işlemleri tararken anormal davranışları tespit edebildiğinden bahsetti.

Bu anormallikler, kullanıcıların cüzdanlarına yapılan saldırıları da kapsıyor.

Dolandırıcılar, bazı saldırılar için sosyal mühendisliğe güvenir. Kullanıcının kişisel bilgilerini araştırırlar veya kripto kullanıcılarının şifrelerini veya tohum cümlelerini ifşa etmeye çalışırlar. Diğer saldırılar ise yalnızca kurbanın cüzdan adresinin bilinmesini gerektirir.

Seifert, "Birçok saldırı sosyal mühendislik saldırısıdır. Kullanıcılar bir web sitesine çekilir, bir web sitesi onlardan cüzdanlarını bağlamalarını ister, bir işlem açılır. Bunun üzerine kullanıcı bunu onaylar ve paraları gider" dedi.

"Ice Phishing"

Mayıs ayındaki en yaygın saldırı türü, Forta tarafından kaydedilen tüm saldırıların %55,8'ini oluşturan "ice phishing" adlı teknikti. Daha yaygın olan kimlik avı saldırılarının aksine bu teknik doğrudan kullanıcıların özel bilgilerini hedeflemez.

Bunun yerine dolandırıcı, kurbana cüzdanını kendisine açması için bir blok zinciri işlemini imzalatır. Böylece dolandırıcı tüm parayı çalabilecek erişime sahip olur. Bu gibi durumlarda, kurbanlar genellikle gerçek kripto hizmetlerini taklit etmek için tasarlanmış bir phishing web sitesine çekilir.

Bu dolandırıcılıklar, kullanıcıların akıllı sözleşmelere cüzdanlarına belirli bir miktarda erişim vermesini sağlayan gözetim dışı Web3 cüzdanlarının en yaygın kullanımlarından biri olan "token onayı" işlemlerine dayanır.

En popüler Ethereum kripto cüzdanı olan MetaMask, destek sayfasında token onay işlemlerini verirken "kesinlikle kontrol sizde ve yaptığınız her şey için nihai sorumluluğu üstleniyorsunuz. Bu nedenle, tam olarak ne yaptığınızı bilmeniz çok önemlidir." uyarısını yaptı.

Bu dolandırıcılar kullanıcıları, DEX'ler dahil olmak üzere çeşitli merkeziyetsiz uygulamalarla (dApp'ler) etkileşime girmeleri için kandırmaya çalışır. Seifert, bu tür planların genellikle yeni bir token’ın airdrop'u gibi yeni bir kazançlı fırsat yanılsaması yarattığını, bu yanılsama ile de FOMO'ya düşme konusundaki ortak eğilimi veya kaçırma korkusunu istismar ettiğini söyledi.

Ancak, meşru bir hizmetle etkileşim kurmak yerine bir kullanıcı bir token onay işlemi imzalayarak varlıkları üzerindeki denetimi bir saldırgana kaptırabilir.

Seifert, "Kullanıcılar tıklar durur ve işlemler, genellikle zamanlayıcılı bir şekilde yeni pencerelerde açılır. Kullanıcılar da kontrolü kaybeder ve bunları onaylamak zorunda kalır," diye ekledi.

Seifert'e göre, ice phishing'in iki önemli adımı vardır: kurbanı kötü niyetli bir web sitesine çekmek ve olumlu bir oluşturmak.

“Ice phishing saldırısının bir çeşidi, kullanıcıları kandırarak yerel varlıkları doğrudan dolandırıcıya göndermelerini sağlamaktır. Bu, dolandırıcının sözleşmesinin bir 'güvenlik güncellemesi' işlevinin imzalanmasıyla elde edilir.”

NFT'ler, airdrop'lar ve adres zehirlenmesi

Bazı saldırılar, NFT trader’larını hedef alır. Örneğin, dolandırıcılar OpenSea tarafından sunulan ve birçok NFT pazarında kullanılan Seaport protokolü gibi NFT altyapısındaki tuhaflıklardan yararlanan teknikler geliştirmiştir. Kullanıcılar Seaport’ta NFT satarken işlem ücretlerinden tasarruf etmek için daha geniş Ethereum ağı yerine platformda yerel olarak yayımlanan bir işlemi imzalayarak satış emirleri oluşturur.

Saldırganlar, değerli NFT'lere sahip kullanıcıları arar ve onları, değerli varlıklarını piyasa fiyatının çok altında satacak işlemleri onaylamaları için kandırmaya çalışır.

Bugün NFT trader’ları, istismar edilebilecekleri birçok yolun farkındadır. Son yıllardaki en yüksek profilli kripto soygunlarından bazıları, yüksek NFT rakamlarını hedef almıştı. Bu, her zamankinden daha büyük hedefli ve karmaşık ice phishing saldırılarına yol açtı.

Saldırganlar, "adres zehirlenmesi" saldırısı için kurbanlarının cüzdanlarının işlem geçmişini inceler ve en çok etkileşim kurdukları adresleri arar. Daha sonra, hedeflerine tanıdık gelecek bir blok zinciri adresi oluştururlar ve kurbana neredeyse hiç değeri olmayan bir işlem gönderirler. Bu işlem, amaçlanan kurbanın işlem geçmişini, kötü niyetli adresi bir sonraki işlemlerini yaptıklarında yanlışlıkla kopyalayıp yapıştırabilecekleri bir yere koyarak "zehirlemek" içindir.

Ancak çoğu zaman, en basit istismarlar etkili olmaya devam eder. Örneğin Seifert, saldırganların kurbanların güvenini veya dikkatini çeken sosyal mühendislik istismarları tasarlarken genellikle tanınabilir markalar kullandığını söyledi. Örneğin, Chainlink (LINK) sahiplerinin haziran ayı başlarında bir saldırganın LINK sahiplerine sözde yeni bir token atmasıyla aldığı sahte tLINK token’ında durum buydu.

Seifert, dolandırıcıların, kullanıcılara airdroplanan token’ın açıklama alanına bir phishing web sitesinde gerçek LINK token’ları için tLINK takas etme teklifini dahil ettiğini söyledi,kullanıcılar bu teklifi kabul etselerdi yanacaklardı.

Forta'ya göre, bu tür saldırıları daha da zorlaştıran şey saldırganların sahte ERC-20 token’larını meşru bir akıllı sözleşmeye tahsis edebilmesi ve ardından bu sahte token’ları hedeflenen bir token’a sahip olan herkese aktaran bir işlevi çalıştırabilmesidir. Bu, dolandırıcılıktan başka bir şey olmasa da kullanıcıların meşru sözleşmeden bir airdrop almış gibi görünmesini sağlar.

Bu tür saldırılar, saldırganların çok fazla keşif yapmasını gerektirmez: Kurbanlar hakkında bilmeleri gereken tek şey, cüzdan adresleridir.

Temiz işlemler

Seifert, hacker’lar ve dolandırıcıların her zamankinden daha çalışkan hale gelmesiyle, cüzdanınızın etkileşime girdiği adreslere her zaman dikkat etmenin önemli olduğunu vurguluyor. İdeal olarak, cüzdanların yerleşik güvenlik özelliklerine sahip olması gerektiğini söyledi ve şu anda Forta'nın sahte adres veritabanını ZenGo cüzdanına sağladığını da sözlerine ekledi.