DeFi topluluğu, Sushi'nin Baş Teknoloji Sorumlusu Matthew Lilley'in liderliğinde, Ledger'ın Connect Kit'inde meydana gelen kritik bir güvenlik ihlaline dikkat çekti. Bu ihlal, Lido, Metamask, Coinbase ve Sushi gibi önemli DeFi protokollerini etkiledi. Saldırının merkezinde, kullanıcıların farkında olmadan fonlarını saldırganların cüzdanlarına aktarmalarına neden olan kompromize edilmiş bir ön yüz (front-end) yer alıyor.

Bu analizin ilerleyen bölümlerinde, saldırının teknik detaylarına ve olayların zincirine daha derinlemesine bir bakış sunacağız.

Yazının devam kısmında, bu zararlı kodun teknik ön-analizini ve gerçekleşen olaylar arasındaki bağlantıları, korelasyonları açıkladım. Bu, okuyuculara hem zararlı kodun işleyiş mekanizmasını hem de bu kodun nasıl etkili bir saldırıya dönüştüğünü anlamalarında yardımcı olacaktır.

Şimdi, saldırının nasıl gerçekleştiğine ve ardından gelen süreçlere odaklanalım.

Saldırı Mekanizması

Oltalama (Phishing) Saldırısı

Saldırı, bir Ledger çalışanının kimlik avı yöntemiyle hedef alınması ve NPMJS hesabının ele geçirilmesiyle başladı. Bu, saldırı zincirindeki ilk adımdı.

Kötü Amaçlı Kod Enjeksiyonu

Saldırgan, Ledger Connect Kit'in 1.1.5, 1.1.6 ve 1.1.7 sürümlerine kötü amaçlı kod yerleştirdi. Bu kod, kullanıcı işlemlerini saldırganın cüzdanına yönlendirmek için tasarlandı.

Sahte WalletConnect Projesi

Kötü amaçlı kod, kullanıcı fonlarını saldırganın cüzdanına aktarmak için sahte bir WalletConnect projesini kullandı. Bu adım, meşru işlemleri kötü niyetli uç noktalara yönlendirmede kritik bir rol oynadı.

Etki, Tepki ve Güvenlik Önlemleri

Süreç ve Hızlı Yanıt

Kötü amaçlı kod yaklaşık 5 saat aktif kaldı ve fonların aktif olarak çekildiği kritik pencere 2 saatten azdı. Ledger ekibi, saldırının fark edilmesinden itibaren 40 dakika içinde bir düzeltme yayınladı. WalletConnect de sahte projeyi devre dışı bırakarak saldırıya müdahale etti.

Sürüm Güncellemesi ve Öneriler

Ledger, Connect Kit'in güvenli ve doğrulanmış 1.1.8 sürümünü yayınladı. Kullanıcıların bu yeni sürümü kullanmadan önce 24 saat beklemeleri tavsiye edildi ve en son sürümü kullanmaları gerektiği vurgulandı. Ledger, işlem doğrulamalarında her zaman Clear Sign kullanılmasını önerdi ve kör imzalama için ek güvenlik önlemleri önerdi.

Web3 Kullanıcıları ve Geliştiriciler için Teknik İçgörüler

Saldırının Doğası

Bu saldırı, kullanıcı arayüzünü değiştirerek kullanıcıları saldırganın adresine işlem yapmaya yönlendiren klasik bir ön yüz manipülasyonu vakasıydı.

WalletConnect'in Rolü

Saldırıda WalletConnect protokolünün taklit edilmesi, bağımlılık yönetimindeki doğrulama süreçlerinin ne kadar önemli olduğunu gösterdi.

Kimlik Avı Tehditlerine Karşı Uyanıklık

İlk ihlalin bir kimlik avı saldırısı yoluyla gerçekleşmesi, hassas erişim bilgilerinin yönetilmesinde sürekli eğitim ve uyanıklığın önemini vurguluyor.

Temel Zararlı Kod Analizi

Yazının bu bölümünde, saldırganın yayımladığı zararlı kod içeren kütüphanesine temel bir inceleme gerçekleştirdim. Bu inceleme sürecinde, kodun teknik detaylarını mümkün olduğunca ayrıntılı bir şekilde ele aldım.

Konfigürasyon Değişkenleri ve Kullanıcı Arayüzü Ayarları

Zararlı kod, `ACCESS_KEY`, `minimalDrainValue`, `mainModal`, `chooseWalletTheme` ve `themeVariables` gibi değişkenlerle başlar. Bu, saldırının API etkileşimleri için erişim anahtarını, hedeflenen minimum drenaj değerini ve kullanıcı arayüzü (UI) temalarını ve modallarını ayarlamak için kullanılıyor olabilir. Bu, kullanıcıların güvenli olduğunu düşündükleri bir arayüzle etkileşimde bulunurken aslında saldırganların kontrolündeki bir arayüze yönlendirildiklerini gösteriyor.

Blockchain Etkileşimleri

`eth_enabled`, `bsc_enabled` gibi değişkenler, zararlı kodun Ethereum, Binance Smart Chain gibi çeşitli blockchain ağlarıyla etkileşime geçebileceğini gösteriyor. Bu, saldırının birden fazla blockchain üzerindeki kullanıcıları hedef alabileceğini işaret ediyor.

Gizlenmiş Fonksiyonlar ve Obfuskasyon

`_0x3906`, `_0x39ac6d` gibi fonksiyonlar, kodun okunmasını ve analiz edilmesini zorlaştıran obfuskasyon (kod karıştırma) tekniklerini içeriyor. Bu fonksiyonlar, saldırının temel mantığını içeriyor olabilir, ancak detaylı analiz için daha fazla çözümlemeye ihtiyaç duyuluyor.

Popup ve UI Etkileşim Elementleri

`popupElementID`, `popupCloseButtonID`, `messageElement` gibi değişkenler, kullanıcıların etkileşimde bulunduğu UI elementlerini kontrol etmek için kullanılıyor. Bu, saldırganların phishing (oltalama) girişimlerinde kullanıcıları yanıltıcı pop-up'lar veya uyarı mesajları ile kandırmaya çalıştıklarını gösteriyor.

Logging ve Strateji Değişkenleri

`logIpData`, `logDrainingStrategy` gibi değişkenler, saldırının işleyişi sırasında veri toplama ve strateji uygulama yeteneğine işaret ediyor. Bu, saldırganların saldırının etkinliğini izlemek ve optimize etmek için veri topladıklarını düşündürebilir.

Draining ve İşlem Çarpanları

`multipliers` objesi, işlem değerlerinin veya önceliklerinin manipüle edilmesine işaret ediyor. Bu, saldırganların blockchain ağlarında finansal işlemleri manipüle etmeye çalıştığı anlamına gelebilir.

Teknik Analiz ve Olayların Bağlantısı

Phishing ve UI Manipülasyonu

Zararlı kodun UI elementlerine ve temalara odaklanması, rapor edilen ön yüz (front-end) saldırısıyla uyumlu. Saldırganlar, kullanıcıları yanıltıcı UI elementleriyle etkileşime geçmeye ve böylece fonlarını yanlışlıkla saldırganların cüzdan adresine göndermeye ikna etmiş olabilirler.

Çoklu Blockchain Uyumluluğu

Kodun çeşitli blockchain'lerle etkileşim kurabilmesi, saldırının farklı platformlardaki kullanıcıları hedef aldığını ve etki alanını genişlettiğini gösteriyor.

WalletConnect Taklitçiliği 

Saldırının doğası ve gerçek saldırıda sahte bir WalletConnect projesinin kullanılması göz önüne alındığında, bu scriptin işlemleri yönlendirmek için kullanılan mekanizmanın bir parçası olabileceği düşünülebilir. Saldırganlar, WalletConnect istemlerini taklit ederek kullanıcıları kendi cüzdanlarına işlem yapmaya yönlendirmiş olabilirler.

Sonuç

Bu zararlı kod, klasik bir ön yüz manipülasyonu ve phishing saldırısının örneklerini sunuyor. Kullanıcıları yanıltıcı arayüzlerle kandırarak ve çoklu blockchain ağları üzerinde etkileşim kurarak geniş bir etki alanı hedef alıyor. Bu tür saldırılar, hem bireysel kullanıcılar hem de DeFi protokolleri için ciddi güvenlik tehditleri oluşturuyor ve sürekli dikkat ve koruma gerektiriyor. Kripto para ve DeFi sektörlerinde artan güvenlik önlemleri ve sürekli uyanıklık ihtiyacını vurguluyor.

Saldırganın cüzdan adresi: 0x658729879fca881d9526480b82ae00efc54b5c2d