Haberler 
Coin Bilgisi 
Hakkımızda 
Ripple(XRP) ile bağlantılı 50 milyon dolarlık bir hack saldırısı sonrası, Binance’in kurucusu olan ve Trump destekçisi olarak bilinen Changpeng Zhao(CZ), kripto cüzdanlarda ‘adres zehirleme’ saldırılarını engelleyebilecek koruma sistemlerinin yaygınlaştırılması çağrısında bulundu.
CZ, sosyal medya paylaşımında bu saldırılar karşısında cüzdan düzeyinde geliştirilecek savunmalarla sorunun tamamen önlenebileceğine dikkat çekti. Bu açıklama, kısa süre önce bir yatırımcının ‘adres zehirleme’ saldırısıyla yaklaşık 49,999,950 Tether(USDT), yani yaklaşık 50 milyon dolar değerindeki varlığını kaybetmesinin ardından geldi.
Ripple(XRP) ile bağlantılı bu saldırının detaylarına bakıldığında, olay 20 Aralık’ta gerçekleşti. Bir kripto para yatırımcısı, Binance’ten fon çektikten sonra kendi cüzdanına test amaçlı 50 USDT gönderdi. Saldırgan, kurbanın adresini taklit eden ancak bir-iki karakter farklı olan sahte bir adres oluşturdu ve test işlemi sırasında sisteme bu adresi dahil etti. Kripto cüzdan arayüzleri adresleri yalnızca baş ve son kısmını gösterdiği için, kullanıcı genellikle bu kısa özet üzerinden adresi doğru sanarak işlem yapıyor. Bu durumda da yatırımcı, asıl adres yerine hacker'ın adresine fonlarının tamamını göndermiş oldu.
Bu saldırı türü, cüzdan geçmişine ‘sahte adres’ yerleştirerek kullanıcıların yanlışlıkla bu adreslere para göndermesini sağlıyor. CZ’nin önerisi ise, cüzdanlara otomatik adres doğrulama ve tehlikeli adresi tespit edip aktarımı durdurabilecek bir algoritma entegre etmek. Ayrıca, geliştiricilerin iş birliğiyle anlık olarak kötü niyetli adreslerin paylaşıldığı bir ‘güvenlik ağı’ kurulması gerektiğini vurguladı. CZ’nin açıklamasına göre Binance’in kendi cüzdanı bu tür temel işlevlere sahip ve şüpheli bir adres tespit edildiğinde sistem kullanıcıyı uyarıyor.
Kripto para sektörü için ‘adres zehirleme’ saldırısı yeni bir mesele değil. Blokzincir güvenlik şirketi SlowMist’in analizine göre saldırgan, çaldığı USDT’yi önce DAI’ye dönüştürdü, ardından 16.690 Ethereum(ETH)’a çevirerek bunları Tornado Cash adlı mixer servisine gönderdi. Bu da fonların izini sürmeyi neredeyse imkânsız hale getirdi. Mağdur yatırımcı ise saldırıdan sonra hackeri ‘beyaz şapkalı’ olmaya ikna edebilmek için 1 milyon dolar değerinde ödül teklif etti.
Yine benzeri bir örnek, Mayıs ayında yaşanmıştı. Bir başka yatırımcı, 1.150 adet Wrapped Bitcoin(WBTC), yani yaklaşık 68 milyon dolar değerindeki varlıklarını, bu saldırı yöntemiyle yanlış cüzdana transfer etti. Bu tür olayların sık yaşanıyor olması, kripto kullanıcılarının yalnızca cüzdan adres doğrulamasında dikkatli olması gerektiğine değil, aynı zamanda platformların da teknik savunma çözümlerini geliştirmesi gerektiğine işaret ediyor.
Yorum: Adres zehirleme gibi nispeten basit tekniklerin bu denli büyük kayıplara yol açması, cüzdan arayüzlerinde ve kullanıcı deneyiminde ciddi bir güvenlik revizyonuna ihtiyaç olduğunu gösteriyor. Özellikle zincir üstü geri dönüşü olmayan işlemler nedeniyle, "küçük hata büyük kayıp" halini alabiliyor. Bu yüzden, CZ’nin önerdiği gibi, adres doğrulama ve filtreleme sistemlerinin standart hale gelmesi şu an için elzem görünüyor.
Yorum 0