Bir kullanıcıyı kendisine 68 milyon dolar değerinde Sarılmış Bitcoin (WBTC) göndermesi için kandırdığı iddia edilen adres zehirleme saldırganı, açık bir iyi niyet gösterisi olarak kurbana 153.000 dolar değerinde Ether (ETH) geri gönderdi. Aynı işlemde saldırgan, pazarlık yapmayı kabul eden ve kurbandan kendisiyle iletişime geçilebilecek bir Telegram kullanıcı adı isteyen bir mesaj gönderdi. Geri gönderilen miktar, çalındığı iddia edilen toplam fonun yalnızca %0,225'ini temsil ediyor.
Blockchain verileri, 5 Mayıs'ta hesabı 8fD5 ile biten saldırı kurbanının, dA6D ile biten bir hesaba üç mesaj gönderdiğini gösteriyor. Mesajın alıcısı, Etherscan'deki "FakePhishing327990" etiketli saldırı hesabından birkaç ara hesap aracılığıyla para almıştı. Bu, dA6D'nin muhtemelen saldırgan tarafından kontrol edildiği anlamına geliyor.
Mesajlar, kurbanın saldırgana paranın yüzde 10'unu ödül olarak vermeye istekli olduğunu ve geri kalan yüzde 90'ı iade etmesi halinde dava açmaktan kaçınacağını ima ediyordu. Mağdur şunları söyledi:
“İkimiz de bu fonları temizlemenin bir yolu olmadığını biliyoruz. Takip edileceksiniz. Ayrıca ikimiz de 'iyi uykular' ifadesinin sizin ahlaki ve etik niteliklerinizle ilgili olmadığını anlıyoruz. Yine de resmi olarak %10'luk hakkınızı yönetiyoruz. %90'ını geri gönderin. Her halükarda hayatınızı değiştirecek bir karar vermeniz için 6 Mayıs 2024 10:00 UTC'den önce 24 saatiniz var."
9 Mayıs 11:37 UTC'de, 72F1 ile biten başka bir hesap kurbana 51 Ether (ETH) (bugünkü fiyatla 153.000 dolar değerinde) göndererek yanıt verdi. 72F1 aynı zamanda çeşitli ara hesaplar aracılığıyla FakePhishing327990'dan da para almıştı; bu da saldırganın kontrolünde olduğunu gösteriyordu.
51 ETH'nin gönderildiği işlemde saldırgan ayrıca "Lütfen telgrafınızı bırakın ve sizinle iletişime geçeceğim" şeklinde bir mesaj da yayınladı. Daha sonra saat 11:43'te hatalı noktalama işaretlerini düzeltmeye çalıştılar ve şunu belirten ek bir mesaj yayınladılar: "Lütfen telgrafınızı bırakın, ben sizinle iletişime geçeceğim[.]."
Kurban yanıt olarak kendileriyle iletişime geçilebilecek bir Telegram kullanıcı adı yayınladı.
Adres zehirlenmesi kurbanı saldırganla pazarlık yapıyor. Kaynak: Etherscan.
Müzakere, saldırganın kurbanı yanlışlıkla hesabına 1.155 Paketlenmiş Bitcoin (WBTC) (o sırada 68 milyon dolar değerinde) göndermesi için kandırdığı ve bunu bir "adres zehirlenmesi" işlemi yoluyla yaptığı iddiasının ardından gerçekleşti.
Blockchain verileri, 3 Mayıs sabah saat 09:17'de saldırganın, kurbanın hesabından saldırganın hesabına 0,05 token aktarmak için akıllı bir sözleşme kullandığını gösteriyor. Aktarılan tokenın Etherscan'de herhangi bir adı yoktu ve yalnızca "ERC-20" olarak anılıyordu. Normal şartlarda bir saldırgan, başka bir kullanıcının izni olmadan token'ı aktaramaz. Ancak bu durumda token, kullanıcının izni olmadan bir hesaptan aktarılmasına izin veren özel bir tasarıma sahipti.
Aynı gün sabah saat 10.31'de kurban görünüşe göre yanlışlıkla bu adrese 1.155 WBTC gönderdi. Adres, mağdurun merkezi bir borsaya para yatırmak için veya başka bir nedenle kullandığı adrese benzer görünebilir.
Ayrıca mağdur geçmişte bu adrese 0,05 token gönderdiğini görmüş ve bu nedenle güvenli olduğunu varsaymış olabilir. Ancak 0,05 token'ın saldırgan tarafından gönderildiği ve yalnızca kurbandan geldiği anlaşıldı.
Bir saldırgan, kendilerinden geliyormuş gibi görünen ancak gerçekte kendisinden geliyormuş gibi görünen işlemlerle spam göndererek kurbanların kafasını karıştırmaya çalıştığında, güvenlik uzmanları buna "adres zehirlenmesi saldırısı" diyor. Uzmanlar, bu tür saldırılardan kaynaklanan yüksek maliyetli hataları önlemek için kullanıcıların bir işlemi onaylamadan önce gönderen adresini dikkatlice incelemesini öneriyor.
İlgili: Sıfır değerli aktarım adresi zehirlenmesi saldırılarından nasıl kaçınılır
