Açık Wi-Fi ağı kripto cüzdanını boşalttı: Sadece bir onay yeterli oldu

Açık otel Wi-Fi ağında yaşanan küçük bir ihmal, kripto cüzdanının tamamen boşaltılmasıyla sonuçlandı. Bu saldırıda dikkat çeken en önemli unsur, saldırganın mağdurun özel anahtarını çalmamış olmasıydı. Bunun yerine yalnızca ‘görünüşte normal bir cüzdan onayı’ sunarak mağdurun buna yanıt vermesini bekledi.

Hacken adlı güvenlik firması tarafından Cointelegraph’a sağlanan bilgilere göre olay, seyahat gibi taşınabilir internet bağlantısının zayıf olduğu ortamlarda kripto varlıklarının nasıl tehlikeye açık hale gelebildiğini ortaya koyuyor. Sosyal medyada The Smart Ape adıyla bilinen mağdur, yaklaşık 5.000 dolar (yaklaşık 730 bin TL) değerinde Solana(SOL) ve NFT kaybetti. İlginç olan, mağdurun herhangi bir kimlik avı bağlantısına tıklamadan veya kötü amaçlı uygulama indirmeden sadece *otel lobisinde telefon görüşmesi yaparken açık Wi-Fi ağına bağlanıp sıradan bir cüzdan izni verdiği* bir anda bu kayıpların yaşanmasıydı.

Söz konusu olay, mağdurun otel odasında şifresiz bir ‘captive portal’ üzerinden dizüstü bilgisayarını internete bağlamasıyla başladı. Bu sırada yalnızca Discord ve X (eski adıyla Twitter) uygulamalarına göz atıp cüzdan bakiyesini kontrol ettiğini belirtti. Ancak ‘açık ağ’ konsepti, tüm otel misafirlerinin aynı yerel ağa bağlı olmasını beraberinde getiriyor. Güvenlik uzmanı Dmytro Yasmanovych’a göre, bu gibi durumlarda saldırganlar ARP spoofing, DNS yönlendirme veya sahte ağ erişim noktaları gibi yöntemlerle yasal internet sitelerine kötü amaçlı JavaScript kodları enjekte edebiliyor. Böylece bir DeFi arayüzü güvenilir olsa bile, çalıştığı ortam artık *güvenli olmaktan çıkıyor.*

Mağdurun açık alanda yaptığı telefon konuşması da saldırganın dikkati için önemli bir ipucu oldu. Söz konusu görüşmede kişinin cüzdan türünü ve kripto varlıklarının miktarını belirtmesiyle birlikte, saldırganın hedefi netleşti. Bu sırada mağdurun, Solana ekosisteminin popüler cüzdanı Phantom’u kullandığı da açığa çıktı. Her ne kadar cüzdanın doğrudan ele geçirilmesi söz konusu olmasa da, saldırgan sahip olunan varlıklara dair genel bir tablo edinmiş oldu.

Bitcoin geliştiricisi Jameson Lopp, kripto varlığı olan kullanıcıların bu tür konuları halka açık alanlarda dile getirmemeleri konusunda daha önce defalarca *uyarı* yapmıştı. Hacken cephesi de aynı noktaya dikkat çekerek siber saldırıların çoğu zaman klavyeyle değil, gözlemle başladığını özellikle vurguladı.

Kripto cüzdanın boşaltılmasına neden olan asıl kritik an ise, DeFi platformunun arayüzü üzerinden yapılan bir işlemin *normal bir yetki onayı gibi görünmesi* ve kullanıcının bunu kabul etmesiyle geldi. Mağdurun bağlandığı internet sitesinin aslında güvenilir bir DeFi platformu olduğu yönünde bir şüphesi yoktu, fakat açık Wi-Fi ağı üzerinden sisteme entegre edilen kötü amaçlı kod, görünüşte yasal fonksiyonların üzerine bir ‘cüzdan yetki devri’ yerleştirmişti.

Yasmanovych bunun, son dönemde öne çıkan yeni bir saldırı yolu olan ‘izin istismarı saldırısı’ tipik bir örneği olduğunu söylüyor. Saldırganlar bu tür durumlarda *özel anahtarı veya doğrudan varlıkları çalmak yerine*, yalnızca ‘normal bir imza’ gibi görünen işlemi onaylatmakla yetiniyor. Sonuç ise genellikle birkaç gün veya hafta sonra başlıyor ve cüzdan hızla boşaltılıyor.

Mağdur, otelden ayrıldıktan sonra Phantom cüzdanında bulunan tüm Solana(SOL), çeşitli token’lar ve NFT’lerin başka bir adrese aktarıldığını fark etti. Bu cüzdan yedek niteliğinde olduğu için kayıp düşük kaldı, ancak *tek bir onayın bu kadar büyük sonuçlara yol açması*, dikkatli olmanın önemini bir kez daha gösterdi.

Olayı değerlendiren Hacken, seyahat sırasında kullanılan tüm açık Wi-Fi ağlarının en kötü senaryoya göre değerlendirilmesi gerektiğini belirtti. Bunun için önerileri arasında mobil internet paylaşımı, güvenilir VPN’lerin kullanımı ve DeFi işlemlerinin yalnızca minimum tarayıcı eklentileriyle ve güvenli cihazlar yardımıyla yapılması var.

Ayrıca varlıkların birden fazla cüzdana dağıtılması, zincir üzerindeki tüm onayların düzenli olarak kontrol edilerek yetkilerin kaldırılması ve halka açık yerlerde kripto varlık konuşmalarından kaçınılması da öneriler arasında yer alıyor.

Bu olay, kripto para hırsızlıklarının yalnızca kimlik avı bağlantıları ya da zararlı yazılımlarla gerçekleştirilmediğini açıkça ortaya koyuyor. Tek bir açık Wi-Fi ağına bağlanmak, bir telefon görüşmesi yapmak veya sıradan bir işlemi onaylamak bile *tüm varlıklarınızı kaybetmeye neden olabilir.* Güvende kalmanın ilk adımı ise daima ‘şüpheyle yaklaşmak’.