Dikkat: Kripto Cüzdan Süzgeçleri, Kimlik Avı Saldırıları için Meşru Uniswap Sözleşmelerinden Yararlanıyor

Dikkat: Kripto Cüzdan Süzgeçleri, Kimlik Avı Saldırıları için Meşru Uniswap Sözleşmelerinden Yararlanıyor

Birkaç savaş yarası olan tecrübeli bir kripto yatırımcısı olarak, DeFi alanında başarılı bir kimlik avı saldırısı daha duyduğumda hayal kırıklığı ve hüsran duygusundan kendimi alıkoyamıyorum. Uniswap V3’ün Çoklu Çağrı sözleşmesi aracılığıyla 85 Lido ETH kaybeden bir kurbanın dahil olduğu son olay, teknoloji ne kadar gelişmiş olursa olsun veya ne kadar çalışkan olursak olalım, her zaman güvenlik açıklarından yararlanmaya ve başkalarının talihsizliklerinden kâr elde etmeye çalışanların olacağının açık bir hatırlatıcısıdır.


Bir kripto yatırımcısı olarak cüzdan tüketenler arasında yeni bir trend fark ettim. Uniswap V3’ün meşru bir özelliği olan Çoklu Çağrı’yı, güvenlik önlemlerini aşmak ve karmaşık kimlik avı saldırıları gerçekleştirmek için yaratıcı yöntemlerle kullanıyorlar. Ne yazık ki bu taktik yakın zamanda başarılı oldu ve 85 Lido ETH’nin şüphelenmeyen bir kurbandan alınmasına yol açtı.

Hacker Bunu Nasıl Yaptı?

Bir güvenlik analisti olarak İzin imzalarının kötüye kullanımını içeren bilgisayar korsanlığı faaliyetlerinde endişe verici bir artış eğilimi gözlemledim. Bu olaylarda failler, asıl mağdur yerine yetkisiz varlık transferlerini başlatan tarafın Uniswap Çoklu Çağrı sözleşmesi olduğunu göstermeyi başardılar. Bu aldatma, şüphelenmeyen kullanıcılar için önemli mali kayıplara yol açabilir.

Bir kripto yatırımcısı olarak yakın zamanda Web3 dünyasında yaşanan bir olayı paylaşmak istiyorum. Güvenilir dolandırıcılıkla mücadele platformumuz Scam Sniffer’ın dikkatli ekibi, bazı kurnaz dolandırıcılar hakkında alarma geçti. Çoklu Çağrı’nın toplama işlevinden yararlanan bu dolandırıcılar, izin ve aktarım özelliklerini kullanarak sinsi bir işlem gerçekleştirdi. Talihsiz kurbanın haberi olmadan, mevcut piyasa oranlarına göre yaklaşık 269.620 dolara eşdeğer olan 85 Lido ETH’yi çekmeyi başardılar.

Suçlular, cüzdan güvenlik uyarılarından kaçınmak için Uniswap V3 ve Çoklu Çağrı işlevi gibi platformların orijinal özelliklerinden yararlanıyor ve başarılı kimlik avı dolandırıcılıklarının önünü açıyor. Kısa süre önce bir kullanıcı, beş gün önce bu taktikleri kullanarak 85 Lido ETH’yi (yaklaşık 240.000 $) dolandırdı.

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5 Mayıs 2024

Madencilerin çıkarabileceği değer (MEV) saldırılarını inceleyen bir araştırmacı olarak, bir saldırganın tespitten kaçınmak için kullanabileceği yöntemlerden birinin, herhangi bir kötü amaçlı etkinlik gerçekleştirmeden önce kaynak adresin orijinalliğini titizlikle doğrulamak olduğunu keşfettim. Bunu yaparak eylemleri kamufle edilir ve MEV botlarının kimlik belirleme sürecini karmaşık hale getirir.

Bu sorunu çözmeye yönelik çeşitli çabalara rağmen, önden koşmak yenilmez bir zorluk olmaya devam etti.

Kendinizi Böyle Bir Saldırıdan Korumak

Bir güvenlik analisti olarak geliştiricilere, gelecekte önden çalışan olayları önlemek için Çoklu Çağrı sözleşmelerinde güncellenmiş izin kontrollerini uygulamalarını tavsiye ederim. Bu arada, kripto kullanıcılarının Uniswap Çoklu Çağrı gibi sözleşmelerle kullanılacak herhangi bir tokenı onaylamadan önce dikkatli olmaları gerekiyor.

Bir kripto yatırımcısı olarak, Ethereum’un ERC token onay sürecinin müsamahakar özünün, onu kurnaz kimlik avı düzenleri için davetkar bir hedef haline getirdiğini fark ettim. Dikkatli olmak ve yatırımlarımı bu kötü niyetli saldırılara karşı korumak için sürekli bir mücadele veriyorum.

Hızla gelişen kripto para birimleri dünyasında, kötü niyetli varlıklardan uzak durmak ve merkezi olmayan finansal sisteme olan güveni sürdürmek için birinci sınıf güvenlik protokollerini takip etmek çok önemlidir. Kendi güvenliğiniz için bilgili ve uyanık kalın!

2024-05-06 11:22