Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Yazarlar

Ledger Hacklendi: Connect Kit Güvenlik İhlali Üzerine Teknik Analiz

Saldırının merkezinde, kullanıcıların farkında olmadan fonlarını saldırganların cüzdanlarına aktarmalarına neden olan kompromize edilmiş bir ön yüz (front-end) yer alıyor.

15 Aralık 2023 10:15

Güncellenme: 15 Aralık 2023 11:20

Alp Onaran

Alp Onaran, siber güvenlik ve blockchain alanlarında uzmanlık kazanmış bir danışmandır. Kariyerine NETAŞ Telekomünikasyon A.Ş'de başlayan Onaran, burada SOC Analisti olarak görev aldıktan sonra aynı şirket içerisinde Offensive Security/Red Team pozisyonuna geçiş yapmıştır. Bu tecrübesinin ardından, KPMG'de Senior Security Consultant olarak önemli bir rol üstlenmiştir. Daha sonra CyberStruggle'da Security Case Officer, Halborn (US) firmasında Blockchain-Smart Contract Audit Rust Security Team Lead olarak görev yapmıştır. Şu an Analog (US) şirketinde Senior Security Engineer olarak çalışmalarını sürdürmektedir, Analog Blockchain'in güvenliğini sağlamakta ve Rust, Blockchain ve Smart Contract alanlarında güvenlik üzerine çalışmalar yürütmektedir. Alp Onaran'ın kariyeri, siber güvenliğin çok çeşitli yönlerini kapsamaktadır. Adli bilişim analizi, zararlı yazılım analizi, uygulama güvenliği, IoT güvenliği, penetrasyon testleri ve kırmızı takım operasyonları, blockchain ve smart contract güvenliği gibi alanlarda hem teknik hem de yönetici pozisyonlarında etkili roller üstlenmiştir. Enerji, bankacılık, lojistik, kripto borsası ve Web3 sektörlerinde faaliyet gösteren birçok firmaya sızma testleri, kod analizi, eğitimler ve adli bilişim çalışmaları dahil olmak üzere geniş bir yelpazede siber güvenlik danışmanlığı hizmetleri sunmuştur. Kariyeri boyunca, Web3 ve Web2 alanlarında birçok kritik güvenlik zafiyetini tespit etmiş ve bu zafiyetlerin giderilmesine önemli katkılarda bulunmuştur. Teknik becerilerinin yanı sıra, karmaşık ve değişken siber güvenlik ortamında stratejik çözümler üretilmesine de odaklanmıştır.

Twitter'da Takip Et:

@_foreseon

DeFi topluluğu, Sushi'nin Baş Teknoloji Sorumlusu Matthew Lilley'in liderliğinde, Ledger'ın Connect Kit'inde meydana gelen kritik bir güvenlik ihlaline dikkat çekti. Bu ihlal, Lido, Metamask, Coinbase ve Sushi gibi önemli DeFi protokollerini etkiledi. Saldırının merkezinde, kullanıcıların farkında olmadan fonlarını saldırganların cüzdanlarına aktarmalarına neden olan kompromize edilmiş bir ön yüz (front-end) yer alıyor.


Bu analizin ilerleyen bölümlerinde, saldırının teknik detaylarına ve olayların zincirine daha derinlemesine bir bakış sunacağız.


Yazının devam kısmında, bu zararlı kodun teknik ön-analizini ve gerçekleşen olaylar arasındaki bağlantıları, korelasyonları açıkladım. Bu, okuyuculara hem zararlı kodun işleyiş mekanizmasını hem de bu kodun nasıl etkili bir saldırıya dönüştüğünü anlamalarında yardımcı olacaktır.


Şimdi, saldırının nasıl gerçekleştiğine ve ardından gelen süreçlere odaklanalım.


Saldırı Mekanizması

Oltalama (Phishing) Saldırısı

Saldırı, bir Ledger çalışanının kimlik avı yöntemiyle hedef alınması ve NPMJS hesabının ele geçirilmesiyle başladı. Bu, saldırı zincirindeki ilk adımdı.


Kötü Amaçlı Kod Enjeksiyonu

Saldırgan, Ledger Connect Kit'in 1.1.5, 1.1.6 ve 1.1.7 sürümlerine kötü amaçlı kod yerleştirdi. Bu kod, kullanıcı işlemlerini saldırganın cüzdanına yönlendirmek için tasarlandı.


Sahte WalletConnect Projesi

Kötü amaçlı kod, kullanıcı fonlarını saldırganın cüzdanına aktarmak için sahte bir WalletConnect projesini kullandı. Bu adım, meşru işlemleri kötü niyetli uç noktalara yönlendirmede kritik bir rol oynadı.


Etki, Tepki ve Güvenlik Önlemleri

Süreç ve Hızlı Yanıt

Kötü amaçlı kod yaklaşık 5 saat aktif kaldı ve fonların aktif olarak çekildiği kritik pencere 2 saatten azdı. Ledger ekibi, saldırının fark edilmesinden itibaren 40 dakika içinde bir düzeltme yayınladı. WalletConnect de sahte projeyi devre dışı bırakarak saldırıya müdahale etti.


Sürüm Güncellemesi ve Öneriler

Ledger, Connect Kit'in güvenli ve doğrulanmış 1.1.8 sürümünü yayınladı. Kullanıcıların bu yeni sürümü kullanmadan önce 24 saat beklemeleri tavsiye edildi ve en son sürümü kullanmaları gerektiği vurgulandı. Ledger, işlem doğrulamalarında her zaman Clear Sign kullanılmasını önerdi ve kör imzalama için ek güvenlik önlemleri önerdi.


Web3 Kullanıcıları ve Geliştiriciler için Teknik İçgörüler

Saldırının Doğası

Bu saldırı, kullanıcı arayüzünü değiştirerek kullanıcıları saldırganın adresine işlem yapmaya yönlendiren klasik bir ön yüz manipülasyonu vakasıydı.


WalletConnect'in Rolü

Saldırıda WalletConnect protokolünün taklit edilmesi, bağımlılık yönetimindeki doğrulama süreçlerinin ne kadar önemli olduğunu gösterdi.


Kimlik Avı Tehditlerine Karşı Uyanıklık

İlk ihlalin bir kimlik avı saldırısı yoluyla gerçekleşmesi, hassas erişim bilgilerinin yönetilmesinde sürekli eğitim ve uyanıklığın önemini vurguluyor.


Temel Zararlı Kod Analizi

Yazının bu bölümünde, saldırganın yayımladığı zararlı kod içeren kütüphanesine temel bir inceleme gerçekleştirdim. Bu inceleme sürecinde, kodun teknik detaylarını mümkün olduğunca ayrıntılı bir şekilde ele aldım.


Konfigürasyon Değişkenleri ve Kullanıcı Arayüzü Ayarları

Zararlı kod, `ACCESS_KEY`, `minimalDrainValue`, `mainModal`, `chooseWalletTheme` ve `themeVariables` gibi değişkenlerle başlar. Bu, saldırının API etkileşimleri için erişim anahtarını, hedeflenen minimum drenaj değerini ve kullanıcı arayüzü (UI) temalarını ve modallarını ayarlamak için kullanılıyor olabilir. Bu, kullanıcıların güvenli olduğunu düşündükleri bir arayüzle etkileşimde bulunurken aslında saldırganların kontrolündeki bir arayüze yönlendirildiklerini gösteriyor.



Blockchain Etkileşimleri

`eth_enabled`, `bsc_enabled` gibi değişkenler, zararlı kodun Ethereum, Binance Smart Chain gibi çeşitli blockchain ağlarıyla etkileşime geçebileceğini gösteriyor. Bu, saldırının birden fazla blockchain üzerindeki kullanıcıları hedef alabileceğini işaret ediyor.



Gizlenmiş Fonksiyonlar ve Obfuskasyon

`_0x3906`, `_0x39ac6d` gibi fonksiyonlar, kodun okunmasını ve analiz edilmesini zorlaştıran obfuskasyon (kod karıştırma) tekniklerini içeriyor. Bu fonksiyonlar, saldırının temel mantığını içeriyor olabilir, ancak detaylı analiz için daha fazla çözümlemeye ihtiyaç duyuluyor.



Popup ve UI Etkileşim Elementleri

`popupElementID`, `popupCloseButtonID`, `messageElement` gibi değişkenler, kullanıcıların etkileşimde bulunduğu UI elementlerini kontrol etmek için kullanılıyor. Bu, saldırganların phishing (oltalama) girişimlerinde kullanıcıları yanıltıcı pop-up'lar veya uyarı mesajları ile kandırmaya çalıştıklarını gösteriyor.


Logging ve Strateji Değişkenleri

`logIpData`, `logDrainingStrategy` gibi değişkenler, saldırının işleyişi sırasında veri toplama ve strateji uygulama yeteneğine işaret ediyor. Bu, saldırganların saldırının etkinliğini izlemek ve optimize etmek için veri topladıklarını düşündürebilir.


Draining ve İşlem Çarpanları

`multipliers` objesi, işlem değerlerinin veya önceliklerinin manipüle edilmesine işaret ediyor. Bu, saldırganların blockchain ağlarında finansal işlemleri manipüle etmeye çalıştığı anlamına gelebilir.


Teknik Analiz ve Olayların Bağlantısı

Phishing ve UI Manipülasyonu

Zararlı kodun UI elementlerine ve temalara odaklanması, rapor edilen ön yüz (front-end) saldırısıyla uyumlu. Saldırganlar, kullanıcıları yanıltıcı UI elementleriyle etkileşime geçmeye ve böylece fonlarını yanlışlıkla saldırganların cüzdan adresine göndermeye ikna etmiş olabilirler.


Çoklu Blockchain Uyumluluğu

Kodun çeşitli blockchain'lerle etkileşim kurabilmesi, saldırının farklı platformlardaki kullanıcıları hedef aldığını ve etki alanını genişlettiğini gösteriyor.


WalletConnect Taklitçiliği 

Saldırının doğası ve gerçek saldırıda sahte bir WalletConnect projesinin kullanılması göz önüne alındığında, bu scriptin işlemleri yönlendirmek için kullanılan mekanizmanın bir parçası olabileceği düşünülebilir. Saldırganlar, WalletConnect istemlerini taklit ederek kullanıcıları kendi cüzdanlarına işlem yapmaya yönlendirmiş olabilirler.


Sonuç

Bu zararlı kod, klasik bir ön yüz manipülasyonu ve phishing saldırısının örneklerini sunuyor. Kullanıcıları yanıltıcı arayüzlerle kandırarak ve çoklu blockchain ağları üzerinde etkileşim kurarak geniş bir etki alanı hedef alıyor. Bu tür saldırılar, hem bireysel kullanıcılar hem de DeFi protokolleri için ciddi güvenlik tehditleri oluşturuyor ve sürekli dikkat ve koruma gerektiriyor. Kripto para ve DeFi sektörlerinde artan güvenlik önlemleri ve sürekli uyanıklık ihtiyacını vurguluyor.


Saldırganın cüzdan adresi: 0x658729879fca881d9526480b82ae00efc54b5c2d 




Daha Fazla Oku

    Ledgerhackdefi

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

Alp Onaran, siber güvenlik ve blockchain alanlarında uzmanlık kazanmış bir danışmandır. Kariyerine NETAŞ Telekomünikasyon A.Ş'de başlayan Onaran, burada SOC Analisti olarak görev aldıktan sonra aynı şirket içerisinde Offensive Security/Red Team pozisyonuna geçiş yapmıştır. Bu tecrübesinin ardından, KPMG'de Senior Security Consultant olarak önemli bir rol üstlenmiştir. Daha sonra CyberStruggle'da Security Case Officer, Halborn (US) firmasında Blockchain-Smart Contract Audit Rust Security Team Lead olarak görev yapmıştır. Şu an Analog (US) şirketinde Senior Security Engineer olarak çalışmalarını sürdürmektedir, Analog Blockchain'in güvenliğini sağlamakta ve Rust, Blockchain ve Smart Contract alanlarında güvenlik üzerine çalışmalar yürütmektedir. Alp Onaran'ın kariyeri, siber güvenliğin çok çeşitli yönlerini kapsamaktadır. Adli bilişim analizi, zararlı yazılım analizi, uygulama güvenliği, IoT güvenliği, penetrasyon testleri ve kırmızı takım operasyonları, blockchain ve smart contract güvenliği gibi alanlarda hem teknik hem de yönetici pozisyonlarında etkili roller üstlenmiştir. Enerji, bankacılık, lojistik, kripto borsası ve Web3 sektörlerinde faaliyet gösteren birçok firmaya sızma testleri, kod analizi, eğitimler ve adli bilişim çalışmaları dahil olmak üzere geniş bir yelpazede siber güvenlik danışmanlığı hizmetleri sunmuştur. Kariyeri boyunca, Web3 ve Web2 alanlarında birçok kritik güvenlik zafiyetini tespit etmiş ve bu zafiyetlerin giderilmesine önemli katkılarda bulunmuştur. Teknik becerilerinin yanı sıra, karmaşık ve değişken siber güvenlik ortamında stratejik çözümler üretilmesine de odaklanmıştır.

Twitter'da Takip Et:

@_foreseon

Alp Onaran, siber güvenlik ve blockchain alanlarında uzmanlık kazanmış bir danışmandır. Kariyerine NETAŞ Telekomünikasyon A.Ş'de başlayan Onaran, burada SOC Analisti olarak görev aldıktan sonra aynı şirket içerisinde Offensive Security/Red Team pozisyonuna geçiş yapmıştır. Bu tecrübesinin ardından, KPMG'de Senior Security Consultant olarak önemli bir rol üstlenmiştir. Daha sonra CyberStruggle'da Security Case Officer, Halborn (US) firmasında Blockchain-Smart Contract Audit Rust Security Team Lead olarak görev yapmıştır. Şu an Analog (US) şirketinde Senior Security Engineer olarak çalışmalarını sürdürmektedir, Analog Blockchain'in güvenliğini sağlamakta ve Rust, Blockchain ve Smart Contract alanlarında güvenlik üzerine çalışmalar yürütmektedir. Alp Onaran'ın kariyeri, siber güvenliğin çok çeşitli yönlerini kapsamaktadır. Adli bilişim analizi, zararlı yazılım analizi, uygulama güvenliği, IoT güvenliği, penetrasyon testleri ve kırmızı takım operasyonları, blockchain ve smart contract güvenliği gibi alanlarda hem teknik hem de yönetici pozisyonlarında etkili roller üstlenmiştir. Enerji, bankacılık, lojistik, kripto borsası ve Web3 sektörlerinde faaliyet gösteren birçok firmaya sızma testleri, kod analizi, eğitimler ve adli bilişim çalışmaları dahil olmak üzere geniş bir yelpazede siber güvenlik danışmanlığı hizmetleri sunmuştur. Kariyeri boyunca, Web3 ve Web2 alanlarında birçok kritik güvenlik zafiyetini tespit etmiş ve bu zafiyetlerin giderilmesine önemli katkılarda bulunmuştur. Teknik becerilerinin yanı sıra, karmaşık ve değişken siber güvenlik ortamında stratejik çözümler üretilmesine de odaklanmıştır.

Twitter'da Takip Et:

@_foreseon

Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Bitcoin ETF'leri 19 Günlük Giriş Serisini Bozdu

18 Haziran 2024 14:43

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk