Ethereum(ETH) güncellemesindeki yeni özellik, 1,54 milyon dolarlık kimlik avı saldırısına yol açtı

Kripto dünyasında dolandırıcılık yöntemleri her geçen gün gelişirken, Ethereum(ETH) ağında gerçekleşen son olay endişeleri artırdı. Yeni bir fonksiyonu hedef alan kimlik avı saldırısıyla bir yatırımcı, tam 1,54 milyon dolar (yaklaşık 21,4 milyar Kore wonu) değerindeki varlıklarını kaybetti. Olay, dolandırıcılıkları takip eden platform Scam Sniffer tarafından açıklandı.

Saldırı, Ethereum'un son güncellemesi olan Pectra hard fork ile birlikte gelen EIP-7702 özelliğinin ‘toplu gönderim’ işlevinin kötüye kullanılmasıyla gerçekleşti. Saldırgan, kullanıcının yalnızca bir onay imzası vererek birden fazla token’i aynı anda göndermesini sağladı. Bu sayede kurbanın elindeki sarılmış Ethereum(wstETH), sarılmış Bitcoin(cbBTC) ve diğer çeşitli token’lar tek bir işlemle cüzdandan çalındı.

EIP-7702’nin merkezinde yer alan ‘toplu imzalama’ özelliği, günlük kullanıcıların karmaşık işlemleri kolayca yapabilmesini sağlamak için geliştirildi. Ancak kötü niyetli kişiler, bu özelliği sahte DeFi arayüzleri üzerinden suistimal ederek çoklu varlık aktarım talimatlarını görünmez şekilde işlemlere gömüyor. Scam Sniffer, dolandırıcıların bunu, kullanıcıya Uniswap gibi güvenilir platformları taklit eden arayüzler sunarak gerçekleştirdiğini belirtti.

Kurbanın onayladığı işlem yüzeyde sıradan bir Uniswap takası gibi görünse de, aslında arka planda çeşitli kripto paraları saldırganın adresine gönderen karmaşık komutlar içeriyordu. Sonuç olarak cüzdan yalnızca birkaç saniye içinde tamamen boşaltıldı.

Yorum: Bu tarz saldırılar, blockchain teknolojisinin sağladığı esnekliklerin kötüye nasıl kullanılabileceğini açıkça ortaya koyuyor.

Bu tür ‘toplu transfer’ temelli dolandırıcılıklar son zamanlarda sıkça yaşanıyor. Söz konusu olaydan yalnızca birkaç gün önce başka bir kullanıcı, NFT’leri de içeren 1 milyon dolar değerindeki varlıklarını benzer bir saldırıda kaybetmişti. Scam Sniffer, EIP-7702 özelliğiyle çalışan adreslerin sıklıkla hedef alındığını ve kullanıcıların tanımadıkları işlemleri imzalamadan önce mutlaka dikkatli incelemeleri gerektiğini vurguladı.

Bu olay, kripto ekosisteminde yapılan her teknolojik yeniliğin güvenlik açısından dikkatle değerlendirilmesi gerektiğinin altını çiziyor. Kullanıcı konforunu artırmak adına sunulan bir özellik, saldırganlara yeni kapılar aralayabiliyor. Bu nedenle, blockchain teknolojisi gelişmeye devam ettikçe, kullanıcıların ‘güvenlik farkındalığını’ da paralel şekilde geliştirmesi hayati önem taşıyor.