Ethereum Vakfı tarafından dün bildirilene göre, 23 Haziran'da Lido'da dolandırıcılık amaçlı bir kripto staking hizmeti sunmak amacıyla kuruluşun e-posta sunucusunun güvenliği ihlal edildi.
Bilgisayar korsanları, grubun resmi adresini içeren bir kimlik avı e-postasını tanıtmak için Ethereum haber bültenine abone olan 35.000'den fazla adresi kullandı.
Mesajda kullanıcılar %6,8 getiri teşvikinden yararlanarak Lido'da kripto stake etmeye davet edildi. Ancak dolandırıcılık platformuna tıklayarak aslında cüzdanın boşaltılmasına izin veriyorlardı.
Gelin neler olduğunu ayrıntılı olarak görelim.
Ethereum Vakfı'nın e-posta sunucusunu ihlal etti: Kripto korsanı bir Lido dolandırıcılık platformunun reklamını yapıyor
23 Haziran'da bir bilgisayar korsanı, haber bülteni abonelerine kripto dolandırıcılığı tanıtmak amacıyla Ethereum Vakfı'nın posta sunucusuna girdi.
Kuruluşun içindeki aynı kişilerin dün bildirdiğine göre, kanal bağlantılarını içeren 35.794 kişiye kimlik avı mesajları gönderildi.
Konu ayrıntılı olarak Lido'da stETH, WETH ve ETH'de %6,8'lik yüksek getiri sağlayan sahte bir staking reklamı yaptı.
Duyuruyu daha gerçekçi kılmak için Ethereum Vakfı'nın update@blog.ethereum.org resmi e-posta adresi kullanıldı.
Bilgisayar korsanı, gerçek platformda aslında %3 olan abartılı performansı da haklı çıkarmak zorunda kaldı.
Bu nedenle Ethereum'un topluluğa daha fazla fayda sunmak için Lido ile iş birliği yaptığını ve staking'in "garantili ve korumalı" olduğunu yazdı.
Kimlik avı e-postasındaki "stake etmeye başla" düğmesine tıklayan kullanıcılar, Lido'nun arayüzüne benzer bir arayüzü taklit eden dolandırıcılık amaçlı bir dapp'e yönlendirildi.
Bu noktaya kadar zararlı hiçbir şey yapılmadı, hatta cüzdanın arka plandaki sahte Lido web sitesine bağlanması bile.
Ancak sahte başvuruyu "hisselendirmeye" çalışırken cüzdana, onaylanması halinde tüm portföyü tehlikeye atacak bir talep alındı.
Tek bir tıklamayla tüm para çekilip doğrudan dolandırıcının cebine gönderilecekti.
Bu hikaye bize, kullandığımız dapp'in alan adını her zaman iki kez kontrol ederek kontrol etmenin ne kadar önemli olduğunu hatırlatıyor.
Ne yazık ki resmi kaynaklardan geçmek yeterli olmuyor çünkü bu durumda olduğu gibi onlar da ele geçirilebiliyor.
Ethereum'un kimlik avı saldırısına ölüm sonrası tepkisi
Ethereum Vakfı'nın yanıtı, kripto dolandırıcılığının kendi e-postalarıyla yayılmasından birkaç gün sonra geldi.
Çekirdek geliştirici Tim Beiko, 2 Temmuz'da resmi bir gönderiyle topluluğuna ne olduğunu açıkladı.
Bilgisayar korsanının, yetkisiz erişim elde etmeyi başararak Ethereum'un "SendPulse" e-posta sağlayıcısını ihlal ettiği iddia ediliyor.
Vakıf, sorunu çözmek için hâlâ SendPulse ile çalışıyor ancak görünen o ki saldırı şimdilik önlendi.
Kötü niyetli aktörün artık Ethereum geliştirme organizasyonunun bağlantılarına erişimi yok ve her şey çözülmüş gibi görünüyor.
Ayrıca tanıtılan dolandırıcılık mesajı, kontaminasyon sorunlarını önlemek için web3 cüzdan sağlayıcılarının çeşitli kara listelerine iletildi.
Saldırgan, muhtemelen başka dolandırıcılık amacıyla kullanmak amacıyla blogun posta listesinden yaklaşık 3.759 adresi dışarı aktardı.
Daha sonra daha fazla araştırma yapılmasının ardından Ethereum, şirket listesinde yer almayan yeni e-posta adreslerini içeren bir veritabanının varlığını keşfetti.
Beiko'nun aynen yazdığı gibi:
"Blogun e-posta listesi, tehdit aktörünün daha önce bilmediği 81 e-posta adresi içeriyordu ve geri kalanı mükerrer adreslerdi."
Bu, kuruluşa terk edilmeyen bazı kullanıcıların kimlik avı e-postasını almış olabileceği ve dolandırıcılığın başka bir yerde tekrarlanmış olabileceği anlamına geliyor.
Bir güncelleme göndermeyi başardığımızı onaylıyoruz. Tüm harici erişimi kilitlemeliydik ama yine de onaylıyoruz. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
- timbeiko.eth (@TimBeiko) 23 Haziran 2024
Sonuçta, iyi biten her şey yolunda: Görünüşe göre herhangi bir tükenme vakası yaşanmış ve saldırıdan herhangi bir kripto çalınmamış.
Ethereum Vakfı, kullanıcılarını dolandırıcılık girişimine karşı güvence altına almak için aşağıdakileri yazdı:
“Tehdit aktörünün e-posta kampanyasını gönderdiği andan kötü amaçlı alanın engellendiği ana kadar gerçekleştirdiği zincir içi işlemlerin analizi, tehdit aktörü tarafından gönderilen bu özel kampanya sırasında hiçbir kurbanın para kaybetmediğini gösteriyor.”
Kripto dünyasında dolandırıcılık ve istismar: Görünürlük ve güvenilirlik arayışında olan bilgisayar korsanları
Dolandırıcılar sürekli olarak kripto dünyasında tanınmış ve güvenilir bir varlığın resmi hesabı aracılığıyla görünürlük kazanma fırsatlarını arıyor.
Lido'nun dolandırıcılık versiyonunun tanıtıldığı Ethereum Vakfı'na yönelik son saldırı girişimi, benzer olayların uzun bir serisinin sadece sonuncusu.
Mesajlarla dolu bir çevrimiçi bağlamda, bilgisayar korsanlarının kalabalığın arasından sıyrılması kolay değil: aslında genellikle daha saf kişiler tarafından görülme umuduyla kendilerini resmi bir gönderinin yorumlarında konumlandırıyorlar.
Ancak kripto topluluğu tarafından güvenilir ve tanınmış bir iletişim aracına erişim sağlamak, daha fazla kullanıcı çekmenin en iyi yöntemidir.
Bu kez saldırı başarısız oldu çünkü bir yandan Ethereum Vakfı çok sayıda e-postanın gönderilmesini hızla engelledi. Öte yandan muhtemelen Ethereum abonelerinin hedefi kriptografik konularda özellikle hazırlıklı ve uzman olduğundan aldanmamışlardır.
Ancak geçmişte birçok benzer dolandırıcılık girişimi yaşandı: 26 Haziran'da, blockchain ağı Hedera Hashgraph'ın pazarlama e-posta adresi de dolandırıcılık e-postaları göndermek üzere saldırıya uğradı.
23 Haziran'da, yani 3 gün önce, MakerDAO'nun bir üyesi sahte bir web uygulamasıyla etkileşime girdikten sonra 11 milyon dolar kaybetmişti.
TON'un yeni blok zincirinde bile, kötü niyetli kullanıcıların ağın popülerlik dönemlerinden yararlanmaya çalışmasıyla kimlik avı saldırılarının yükselişte olduğu görülüyor.
Ancak genel olarak Peckshield tarafından bildirildiği üzere, Haziran ayında blockchain üzerinde kaydedilen hırsızlıklar, Mayıs ayında gözlemlenenlere kıyasla azaldı.
Hatta bu anlamda kriptografik kayıplar mayıs ayındaki 385 milyon dolardan geçen ay 176 milyon dolara düştü.
DeFiLlama'nın bildirdiğine göre 2016'dan bugüne, hack ve istismarların toplam tutarı 8,3 milyar doları buluyor.
