Orijinal Başlık: “50 Milyon Dolar Çalındı, Sadece Adresi Dikkatlice Kontrol Etmediği İçin”
Orijinal Yazar: Eric, Foresight News
Pekin saatiyle dün gece yarısı, X’te Specter adlı zincir analisti, bir transfer adresini dikkatlice kontrol etmediği için yaklaşık 50 milyon USDT’nin hacker adresine aktarıldığı bir vakayı tespit etti.
Yazarın araştırmalarına göre, bu adres (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) Pekin saatiyle 19’unda saat 13:00 civarında Binance’tan 50 USDT çekerek büyük miktarlı çekim öncesi bir test yaptı.
Yaklaşık 10 saat sonra, bu adres Binance’tan tek seferde 49,999,950 USDT çekti, önce çekilen 50 USDT ile birlikte toplam tam 50 milyon oldu.
Yaklaşık 20 dakika sonra, 50 milyon USDT alan adres, test için önce 0xbaf4…95F8b5 adresine 50 USDT transfer etti.
Test transferi tamamlandıktan sonraki 15 dakikadan kısa bir süre içinde, hacker adresi 0xbaff…08f8b5, kalan 49,999,950 USDT’ye sahip adrese 0.005 USDT transfer etti. Hacker’ın kullandığı adres, 50 USDT alan adresle hem başlangıcı hem de sonu oldukça benzerdi; bu açık bir “adres zehirleme” saldırısıydı.
10 dakika sonra, 0xcB80 ile başlayan adres kalan 40 milyondan fazla USDT’yi transfer etmeye hazırlanırken, muhtemelen dikkatsizlik sonucu önceki işlemi, yani hacker’ın “zehirleme” yaptığı adresi kopyaladı ve neredeyse 50 milyon USDT’yi doğrudan hacker’ın eline gönderdi.
50 milyon doların eline geçtiğini gören hacker, 30 dakika sonra para aklama hareketlerine başladı. SlowMist izlemelerine göre, hacker önce MetaMask üzerinden USDT’yi DAI ile takas etti, ardından tüm DAI’yi yaklaşık 16,690 Ethereum satın almak için kullandı, 10 ETH bıraktıktan sonra kalan Ethereum’u tamamen Tornado Cash’e aktardı.
Pekin saatiyle dün saat 16:00 civarında, mağdur zincir üzerinde hacker’a hitap ederek resmi bir cezai dava açtığını ve kolluk kuvvetleri, siber güvenlik kuruluşları ve birden fazla blokzincir protokolünün yardımıyla bu hacker faaliyeti hakkında çok sayıda güvenilir istihbarat topladığını belirtti. Sahip, hacker’ın 1 milyon dolar bırakıp kalan %98 fonu iade edebileceğini, eğer hacker bunu yaparsa daha fazla takip etmeyeceğini söyledi; işbirliği yapmazsa hacker’ın cezai ve medeni sorumluluğunu yasal yollarla takip edeceğini ve hacker’ın kimliğini açıklayacağını belirtti. Ancak şu ana kadar hacker’dan herhangi bir hareket gelmedi.
Arkham platformunun derlediği verilere göre, bu adresin Binance, Kraken, Coinhako ve Cobo adresleriyle büyük miktarlı transfer kayıtları bulunuyor. Binance, Kraken ve Cobo’nun tanıtımına gerek yok, ancak Coinhako nispeten yabancı bir isim olabilir. Coinhako, 2014 yılında kurulmuş, Singapur merkezli bir kripto para borsasıdır ve 2022’de Singapur Para Otoritesi’nden büyük ödeme kurumu lisansı almış, Singapur’da düzenlenmiş bir borsadır.
Bu adresin birden fazla borsa ve Cobo saklama hizmeti kullanması ve olaydan sonraki 24 saat içinde hızla taraflarla iletişime geçerek hacker’ın izini sürme yeteneği göz önüne alındığında, yazar bu adresin büyük olasılıkla bir kuruma ait olduğunu, bir bireye ait olmadığını tahmin ediyor.
“Dikkatsizlik” Büyük Hataya Yol Açtı
“Adres zehirleme” saldırısının başarılı olmasının tek açıklaması “dikkatsizlik”tir. Bu tür saldırılar, transfer öncesi adresi bir kez daha kontrol ederek önlenebilir, ancak bu olaydaki kahraman açıkça bu kritik adımı atlamış.
Adres zehirleme saldırıları 2022’den itibaren ortaya çıkmaya başladı ve hikayenin kökeni “güzel numaralı adres” üreteci, yani bir EVM adresinin başlangıcını özelleştirebilen bir araçtan geliyor. Örneğin, yazarın kendisi adresi daha etiketlenebilir hale getirmek için 0xeric ile başlayan bir adres oluşturabilir.
Bu araç daha sonra hacker’lar tarafından, tasarım sorunları nedeniyle özel anahtarın kaba kuvvetle kırılabileceği keşfedildi ve bu da birkaç büyük fon hırsızlığı olayına yol açtı. Ancak, özelleştirilmiş başlangıç ve son üretme yeteneği, bazı kötü niyetli kişilere bir “kurnaz fikir” düşündürdü: Kullanıcının sık kullandığı transfer adreslerinin başlangıç ve sonuna benzer adresler üreterek ve kullanıcının sık kullandığı diğer adreslere transfer yaparak, bazı kullanıcılar dikkatsizlik sonucu hacker adresini kendi adresi sanıp aktif olarak zincir üstü varlıklarını hacker’ın cebine gönderebilir.
Geçmiş zincir bilgileri, 0xcB80 ile başlayan adresin bu saldırıdan önce de hacker zehirlemesinin önemli hedeflerinden biri olduğunu ve ona yönelik adres zehirleme saldırılarının yaklaşık 1 yıl önce başladığını gösteriyor. Bu saldırı yöntemi özünde, hacker’ın bir gün sıkıntıdan veya dikkatsizlikten dolayı tuzağa düşeceğinize bahse girmesidir ve tam da bu ilk bakışta anlaşılabilir saldırı yöntemi, “büyük dalgınlar”ın art arda kurban olmasına neden oluyor.
Bu olayla ilgili olarak, F2Pool’un kurucu ortağı Wang Chun, mağdura sempatisini dile getiren bir tweet attı ve geçen yıl kendi adresinin özel anahtar sızıntısı olup olmadığını test etmek için 500 Bitcoin transfer ettiğini, ardından hacker’lar tarafından 490 Bitcoin’in çalındığını söyledi. Wang Chun’ın deneyimi adres zehirleme saldırısıyla ilgili olmasa da, muhtemelen herkesin “aptalca hatalar” yapabileceğini, mağdurun dikkatsizliğini yargılamak yerine suçun hacker’a yöneltilmesi gerektiğini ifade etmek istiyor.
50 milyon dolar küçük bir miktar değil, ancak bu tür saldırılarda çalınan en yüksek miktar değil. Mayıs 2024’te, bir adres bu tür bir saldırı nedeniyle hacker adresine 70 milyon dolar değerinde WBTC transfer etti, ancak mağdur, güvenlik şirketi Match Systems ve Cryptex borsasının yardımıyla zincir üzerinde müzakere ederek neredeyse tüm fonları geri almayı başardı. Ancak bu olayda hacker çalınan fonları hızla ETH ile takas edip Tornado Cash’e aktardığı için nihai olarak geri alınıp alınamayacağı henüz bilinmiyor.
Casa’nın kurucu ortağı ve baş güvenlik sorumlusu Jameson Lopp, Nisan ayında adres zehirleme saldırılarının hızla yayıldığı konusunda uyardı ve 2023’ten bu yana sadece Bitcoin ağında gerçekleşen bu tür olayların sayısının 48,000’e ulaştığını belirtti.
Telegram’daki sahte Zoom toplantı bağlantıları da dahil olmak üzere, bu saldırı yöntemleri çok zekice sayılmaz, ancak tam da bu “sade” saldırı yöntemleri insanların tetikte olmasını sağlayabilir. Karanlık ormandaki bizler için, biraz daha dikkatli olmak asla yanlış olmaz.
