$24M Phishing Heist: Hackerlar Token Onaylarını Nasıl Bir Boşaltma Makinesine Dönüştürdü

Hatırlıyor musunuz, “sadece bir işlemi onaylamak” zararsız görünüyordu? Bu Mart ayında, bir blokzincir güvenliği uyarısı bunun aksini kanıtladı.

Eylül 2023’te, bir kripto balinası Rocket Pool’un staking hizmetini hedef alan bir phishing saldırısıyla $24 milyon dolarını kaybetti. Saldırı oldukça kusursuzdu: hackerlar kurbanı “İzin Artır” işlemini imzalamaya ikna etti—yani token kasasındaki anahtarları teslim etti. Zarar nedir? 9.579 stETH + 4.851 rETH iki aşamada kaybedildi.

Mart 21’e gelindiğinde, CertiK saldırganın 3.700 ETH’yi (~$10M) tutarında Tornado Cash’e taşıdığını fark etti; Tornado Cash, fon izlerini gizlemek amacıyla kullanılan bir karıştırma hizmeti. O zamana kadar, PeckShield’in analizi, çalınan varlıkların 13.785 ETH + 1.64M DAI’ye birleştirildiğini ve bazı parçaların zaten FixedFloat üzerinden akıştığını ve çeşitli cüzdanlara dağıldığını gösterdi.

Neden Bu Önemli (Ve Neden Umursamalısınız)

Bu, bazı egzotik akıllı sözleşme açıkları değildi—bu, token onaylama suistimaliydi; kripto dünyasının en göz ardı edilen güvenlik açıklarından biri. Scam Sniffer raporu karamsar bir tablo çiziyor: Şubat ayında yalnızca phishing nedeniyle $47 milyon dolar kaybedildi, ve toplam hırsızlıkların %78’i Ethereum ve ERC-20 tokenleri tarafından gerçekleştirildi; bu da toplam hırsızlıkların %86’sını oluşturuyor.

En korkutucu kısmı? Sadece büyük oyuncular değil, herkes zarar görebilir. 20 Mart’ta Dolomite kullanıcıları, daha önce onayladıkları eski bir sözleşmenin, cüzdanları boşaltmak için kullanıldığını fark etti. Borsa, acil bir iptal bildirimi yayınlamak zorunda kaldı.

Neler Oldu (Ve Neler Olabilir)

Token onayları, DeFi’de kaçınılmaz bir kötüdür—bu, protokollerin sizin adınıza işlem yapmasına izin verir. Ama burada bir tuzak var: onay verdikten sonra, bu sözleşmeye sonsuza kadar güveniyorsunuz ve manuel olarak iptal etmediğiniz sürece bu güven devam eder. Hackerlar bunu şu şekilde kullanır:

1. Phishing yoluyla size kötü niyetli bir sözleşmeyi onaylatmak
2. Zamanla cüzdanınızı sistematik şekilde boşaltmak
3. Tornado Cash gibi hizmetler aracılığıyla fonları karıştırmak ve izleri gizlemek

Ancak her hikaye kayıpla sonuçlanmaz. Layerswap, hızlı müdahale ile zararı en aza indirebildi—saldırıyı durdurduktan sonra kullanıcıları mağdur olmadan tazmin etti.

Gerçeklik Kontrolü

Kripto güvenlik alanı bir silah yarışı içinde. Her phishing saldırısı yeni açıklar ortaya çıkarır, her açık ise hackerlara yeni numaralar öğretir. Bir kayıp ile bir felaket arasındaki fark genellikle tek bir şeye bağlıdır: eski token onaylarınızı iptal edip etmediğiniz.

Bu Mart ayındaki olaylar istisna değil—uyarılar. DeFi daha karmaşık hale geldikçe, saldırılar da öyle olacak.