Özet: İnsan Faktörü, Koddan Önce Gelir

• Çoğu kripto kullanıcısı karmaşık teknik istismarlar aracılığıyla değil, genellikle yanlış bir şeye tıklayarak, bir işleme onay vererek veya sahte bir şeye güvenerek hacklenir. Bu rapor, bu sıradan hataların nasıl gerçekleştiğini açıklamaktadır.
• Kimlik avı kitleri ve cüzdan boşaltıcılardan kötü amaçlı yazılımlara ve sahte destek dolandırıcılıklarına kadar, saldırıların çoğu protokolleri değil, doğrudan kullanıcıları hedef alıyor. Bu da ortak zayıf noktanın kod değil, insan bağlamı olduğu anlamına geliyor.
• Bu rapor, bireysel kullanıcılarla ilgili kripto istismarlarının temellerini özetlemekte ve yaygın istismarların bir listesinin yanı sıra gerçek yaşam örnekleri ve dikkat edilmesi gerekenleri kapsamaktadır.

1. Bilmeniz Gerekenler: Saldırı Yüzeyi Sizsiniz

Kripto, tasarımı gereği kendi kendine saklanır. Bu bir özelliktir. Ancak, endüstrinin değerlerinin merkezinde yer alan bu temel özellik, kullanıcıyı tek bir hata noktası haline getirebilir. Kripto para kaybeden bireylerin çoğu durumda, protokolde bir hata yoktur: bir tıklama, bir doğrudan mesaj (DM), bir onay. Görünüşte önemsiz bir günlük görevi yerine getirirken yaşanan bir güven veya dikkatsizlik anı, birinin kripto deneyimlerinin seyrini değiştirebilir.

Bu rapor, teknik bir beyaz kağıt veya akıllı sözleşme mantığının incelemesi değil, bireyler için bir tehdit modelidir. Kullanıcıların pratikte nasıl istismar edildiğinin bir ayrıntısı ve bununla ne yapılacağı ele alınacaktır. Rapor, kişisel düzeydeki istismarlar üzerine odaklanacaktır: kimlik avı, cüzdan onayları, sosyal mühendislik ve kötü amaçlı yazılım. Ayrıca, kripto para alanında gerçekleşen istismarların spektrumunu vermek için sonunda protokol düzeyindeki riskleri kısaca ele alacaktır.

2. Kripto Hacklerinin Kapsamlı Oyun Kitabı

İzin gerektirmeyen ortamlarda gerçekleşen işlemlerin kalıcı ve geri alınamaz doğası, genellikle aracılarının onayı olmaksızın, bireysel kullanıcıların finansal varlıkları barındıran aynı cihazlar ve tarayıcılar üzerinden anonim muhataplarla etkileşimde bulunmaktan sorulduğu için kriptoyu hackerlar ve diğer suçlular için benzersiz bir av alanı haline getirir. Aşağıda bireylerin karşılaşabileceği istismar türlerinin kapsamlı bir listesi bulunmaktadır, ancak okuyucular bu listenin çoğu istismarı kapsasa da, eksiksiz olmadığını bilmelidir. Bu liste, kripto ile tanışık olmayanlar için bunaltıcı olabilir, ancak bunların önemli bir kısmı internet çağında bir süredir meydana gelen “normal” istismarlar olup, bu sektöre özgü değildir. Bölüm 3, birkaç ana istismar yöntemini ayrıntılı olarak ele alacaktır.

2.1 Sosyal Mühendislik Saldırıları: İnsan Psikolojisini Hedefleme

Bireyleri güvenliklerini tehlikeye atmaya ikna etmek için psikolojik manipülasyona dayanan saldırılardır.

• Kimlik Avı (Phishing): Sahte e-postalar, mesajlar veya siteler gerçek platformları taklit ederek kimlik bilgilerini veya kurtarma ifadelerini çalmaya çalışır (daha fazla bilgi için bkz. Bölüm 3.1).
• Taklit Dolandırıcılıkları: Saldırganlar, güven kazanmak ve fonlar veya hassas bilgiler çıkarmak için influencerlar, proje liderleri veya müşteri destek temsilcileri olarak kendilerini tanıtırlar.
• Kurtarma İfadesi (Seed Phrase) Dolandırıcılıkları: Kullanıcılar, sahte kurtarma araçları veya çekilişler aracılığıyla kurtarma ifadelerini ifşa etmeye ikna ediliyor.
• Sahte Airdroplar: Kullanıcıları ücretsiz tokenlar ile çekmek, güvensiz cüzdan etkileşimlerine veya özel anahtar paylaşımına yol açar.
• Sahte İş Teklifleri: İstihdam fırsatları olarak gizlenmiş, ancak kötü amaçlı yazılım yüklemeyi veya hassas verileri toplamayı amaçlayan teklifler.
• Pompa ve Çökertmeler (Pump and Dump): Beklenmedik perakende katılımcılar üzerinde tokenları abartmak ve ardından fiyatlarını düşürmek için sosyal olarak koordine edilen çabalar.

Şekil 1: Sosyal mühendisliğin sonuçları çok ciddi olabilir.
Kaynak: Cointelegraph

2.2 Telekom ve Hesap Ele Geçirme Saldırıları

Telekom altyapısını veya hesap düzeyindeki zayıf noktaları kullanarak kimlik doğrulamayı atlama yöntemleridir.

• SIM Değiştirme (SIM Swapping): Saldırganlar, bir kurbanın cep telefonunu ele geçirerek 2FA (İki Faktörlü Kimlik Doğrulama) kodlarını yakalar ve hesap kimlik bilgilerini sıfırlar (daha fazla bilgi için bkz. Bölüm 3.1).
• Kimlik Bilgisi Doldurma (Credential Stuffing): Sızıntılardan elde edilen kimlik bilgilerini yeniden kullanarak cüzdanlara veya borsa hesaplarına erişme.
• 2FA Atlatma: Zayıf veya SMS tabanlı kimlik doğrulamasından yararlanarak yetkisiz erişim sağlama.
• Oturum Kaçırma (Session Hijacking): Kötü amaçlı yazılımlar veya güvensiz ağlar aracılığıyla tarayıcı oturumlarını çalarak oturum açmış hesapları ele geçirmek.

Şekil 2: Bir SIM değişimi aracılığıyla SEC’den sahte bir Tweet
Kaynak: Twitter

2.3 Kötü Amaçlı Yazılım ve Cihaz İstismarları

Kullanıcının cihazını tehlikeye atarak cüzdan erişimini çıkarmak veya işlemleri bozmak için tasarlanmış yazılımlardır (daha fazla bilgi için bkz. Bölüm 3.3).

• Klavye Kaydedicileri (Keyloggers): Parolaları, PIN’leri ve kurtarma ifadelerini çalmak için tuş vuruşlarını kaydeder.
• Pano Hırsızları (Clipboard Hijackers): Kopyalanan cüzdan adreslerini saldırgan kontrolündeki olanlarla değiştirir.
• Uzaktan Erişim Truva Atları (RAT’lar): Saldırganlara bir kurbanın makinesinin tam kontrolünü sağlar, cüzdanlar dahil.
• Kötü Niyetli Tarayıcı Eklentileri: Güvenliği ihlal edilmiş veya sahte eklentiler verileri çalar veya işlemleri manipüle eder.
• Sahte Cüzdanlar veya Uygulamalar: Kullanım sırasında fonları boşaltan sahte uygulamalar (mobil veya tarayıcı).
• Ortadaki Adam (MITM) Saldırıları: Kullanıcı ile hizmet arasındaki iletişimi kesip değiştirme, özellikle de güvensiz ağlarda.
• Güvensiz Wi-Fi Saldırıları: Kamuya açık veya tehlikeye atılmış Wi-Fi, oturum açma veya veri transferleri sırasında hassas verilerin ele geçirilmesine olanak tanır.

Şekil 3: Sahte cüzdanlar, başlangıç seviyesindeki kripto kullanıcılarını hedef alan yaygın bir dolandırıcılıktır.
Kaynak: cryptorank

2.4 Cüzdan Düzeyinde Sömürü

Kullanıcıların cüzdanları yönetme veya imza arayüzleriyle etkileşim kurma şekillerini hedef alan saldırılardır.

• Onay Boşaltmaları (Approval Drains): Kötü niyetli akıllı sözleşmeler, önceki token onaylarını istismar ederek tokenları boşaltır.
• Kör İmza Saldırıları (Blind Signing): Kullanıcılar, fon kaybına yol açan belirsiz yükleri imzalar (örneğin, donanım cüzdanlarından).
• Kurtarma İfadesi Hırsızlığı: Kurtarma ifadelerinin kötü amaçlı yazılım, kimlik avı veya kötü depolama hijyeni yoluyla dışa aktarılması.
• Ele Geçirilmiş Özel Anahtarlar: Anahtar sızıntısına yol açan güvensiz depolama (örneğin, bulut sürücülerinde veya düz metin notlarında).
• Tehlikeye Atılmış Donanım Cüzdanları: Değiştirilmiş veya sahte cihazlar, özel anahtarları saldırganlara sızdırır.

2.5 Akıllı Sözleşme ve Protokol Seviyesi Riskleri

Kötü niyetli veya savunmasız zincir üstü kod ile etkileşimlerden kaynaklanan risklerdir.

• Kötü Amaçlı Akıllı Sözleşmeler: Etkileşimde bulunulduğunda fonları boşaltan gizli kötü niyetli mantık.
• Hızlı Kredi (Flash Loan) Saldırıları: Fiyatları veya protokol mantığını manipüle etmek için teminatsız krediler kullanan istismarlar.
• Oracle Manipülasyonu: Saldırgan, hatalı verilere dayanan protokolleri istismar etmek için fiyat akışlarını çarpıtır.
• Çıkış Likidite Dolandırıcılıkları (Exit Scams / Rug Pulls): Yaratıcılar, yalnızca kendilerinin değer çekebildiği tokenlar veya havuzlar tasarlar, kullanıcıları tuzağa düşürür.
• Sybil Saldırıları: Sahte kimlikler merkeziyetsiz sistemleri, özellikle yönetişimi veya airdrop uygunluğunu bozar.

Şekil 4: Bir hızlı kredi, DeFi’nin en büyük istismarlarından birine neden oldu.
Kaynak: Elliptic

2.6 Proje ve Piyasa Manipülasyonu Dolandırıcılıkları

Token yapısı, DeFi projeleri veya NFT koleksiyonlarıyla bağlantılı dolandırıcılıklardır.

• Rug Pulls: Proje kurucuları sermaye topladıktan sonra kaybolur, geride değersiz tokenlar bırakır.
• Sahte Projeler: Sahte koleksiyonlar kullanıcıları minting dolandırıcılıklarına veya zararlı işlemleri imzalamaya çekiyor.
• Toz Saldırıları (Dusting Attacks): Cüzdanları anonimlikten çıkarmak ve kimlik avı veya dolandırıcılık hedeflerini belirlemek için kullanılan küçücük token transferleri.

2.7 Web ve Altyapı Saldırıları

Kullanıcıların güvendiği ön uç veya DNS düzeyindeki altyapıyı istismar etme yöntemleridir.

• Ön Uç Kaçırmaları / DNS Sahtekarlığı: Saldırganlar kullanıcıları kimlik bilgilerini çalmak veya güvensiz işlemler yapmaları için kötü niyetli arayüzlere yönlendirir.
• Köprü Saldırıları (Bridge Attacks): Kullanıcı fonlarını transfer sırasında tehlikeye atan çapraz zincir köprülerinin hacklenmesi.

2.8 Fiziksel Tehditler

Zorla alma, hırsızlık veya gözetimle ilgili gerçek dünya riskleridir.

• 5 Dolarlık İngiliz Anahtarı Saldırısı (Five-Dollar Wrench Attack): Kurbanlar fiziksel olarak para transfer etmeye veya kurtarma ifadelerini ifşa etmeye zorlanır.
• Fiziksel Hırsızlık: Erişim sağlamak için cihazlar veya yedekler (örneğin, donanım cüzdanları, not defterleri) çalınır.
• Omuzdan Gözetleme (Shoulder Surfing): Kamuya açık veya özel ortamlarda kullanıcıların hassas verileri girdiğini gözlemlemek veya kaydetmek.
• 

Şekil 5: Ne yazık ki, fiziksel tehditler yaygın olmuştur.
Kaynak: The New York Times

3. Dikkat Edilmesi Gereken Başlıca Saldırı Yöntemleri

Bazı istismarlar diğerlerinden daha sık meydana gelir. Kripto tutan veya kripto ile etkileşimde bulunan bireylerin bilmesi gereken üç istismarı burada bulabilirsiniz, bunların nasıl önleneceği de dahil. Bölümün sonunda, çeşitli istismar yöntemleri arasında örtüşmeler olduğundan, önleme tekniklerinin bir derlemesi ve dikkat edilmesi gereken temel özellikler listelenecektir.

3.1 Kimlik Avı (Phishing): Sahte Cüzdanlar ve Airdroplar Dahil

Kimlik avı, kriptonun ortaya çıkmasından on yıllar önce başlamış ve terim 1990’larda, saldırganların sahte e-postalar ve web siteleri aracılığıyla genellikle giriş bilgileri gibi hassas bilgileri “avlamak” için kullandıkları bir tanım olarak ortaya çıkmıştır. Kripto, paralel bir finansal sistem olarak ortaya çıktıkça, kimlik avı doğal olarak kurtarma ifadeleri, özel anahtarları ve cüzdan yetkilendirmelerini hedef almak üzere evrimleşmiştir; yani, “tam kontrol”ün kripto eşdeğerleri.

Kripto kimlik avı özellikle tehlikelidir çünkü geri dönüş yoktur: geri ödemeler yok, dolandırıcılık koruması yok ve bir işlemi geri alabilecek müşteri desteği yoktur. Anahtarınız çalındığında, fonlarınız kaybolmuş demektir. Ayrıca, kimlik avının bazen daha geniş bir istismarın ilk adımı olduğunu unutmamak önemlidir; gerçek risk, başlangıçtaki kayıp değil, sonrasında gelen uzunca bir ihlal zinciridir. Örneğin, ihlal edilmiş kimlik bilgileri bir saldırganın mağduru taklit etmesine ve başkalarını dolandırmasına olanak tanıyabilir.

Kimlik Avı Nasıl Çalışır?

Temelinde, kimlik avı, insan güvenini istismar ederek güvenilir bir arayüzün sahte bir versiyonunu sunarak veya yetkili biri gibi davranarak kullanıcıları hassas bilgilerini gönüllü olarak vermeye veya kötü niyetli eylemleri onaylamaya kandırır. Birkaç ana dağıtım vektörü vardır:

• Sahte Web Siteleri: Sahte cüzdan versiyonları (örneğin, MetaMask, Phantom), borsa (örneğin, Binance) veya dApp’ler (Merkeziyetsiz Uygulamalar). Genellikle Google reklamları aracılığıyla tanıtılan veya Discord/Twittergrupları üzerinden paylaşılan, gerçek siteyle birebir aynı görünmesi için tasarlanmış. Kullanıcılara “bir cüzdan içe aktarma” veya “fonları kurtarma” isteğiyle karşılaşabilir, kurtarma kelimesini veya özel anahtarlarını alabilirler.
• Sahte E-postalar ve Mesajlar: Resmi iletişim gibi görünür (örneğin, “acil güvenlik güncellemesi” veya “hesap tehlikeye girdi”). Sahte giriş portallarına bağlantılar ekler veya sizi zararlı tokenlar veya akıllı sözleşmelerle etkileşimde bulunmaya yönlendirir. Telegram, Discord, Twitter DM’leri ve hatta SMS’te yaygındır.
• Sahte Cüzdanlar veya Tarayıcı Uzantıları: Uygulama mağazalarında veya Chrome uzantısı olarak mevcuttur. Gerçek cüzdanları işlevsel olarak taklit eder, ancak özel anahtarınızı veya işlem verilerinizi saldırganlara iletir. Bazıları, fon gönderene veya bir kurtarma kelimesini geri yükleyene kadar işlevsel görünür, bu noktada fonlar dışarı aktarılır.
• Airdrop Dolandırıcılıkları: EVM zincirlerinde cüzdanlara gönderilen sahte token düşüşleri. Tokena tıklamak veya ticaret yapmaya çalışmak, kötü niyetli bir sözleşme etkileşimi başlatır. Sızarak sınırsız token onayı isteyebilir veya imzalanmış bir yüklemeniz aracılığıyla yerel tokeninizi çalabilir.

Şekil 6: Kripto para dünyasında “ücretsiz” ifadesini gördüğünüzde her zaman dikkatli olun. Kaynak: Presto Research

Aldatma Örnekleri: Atomic Wallet Hack

Haziran 2023’teki Atomic Wallet hack’i, Kuzey Kore’nin Lazarus Grubu’na atfedilen, kripto tarihindeki en yıkıcı saf kimlik avı saldırılarından biri olarak öne çıkıyor. Bu saldırı, 5.500’den fazla saklama dışı cüzdanın ele geçirilmesiyle 100 milyon dolardan fazla kripto paranın çalınmasına neden oldu ve kullanıcıların herhangi bir kötü amaçlı işlem imzalamasını veya akıllı sözleşmelerle etkileşimde bulunmasını gerektirmedi. Bu saldırı, aldatıcı arayüzler ve kötü amaçlı yazılımlar aracılığıyla kurtarma ifadesi ve özel anahtar çıkarmaya odaklandı; kimlik avı temelli kimlik hırsızlığının ders kitabı örneğiydi.

Atomic Wallet, 500’den fazla kripto para birimini destekleyen çok zincirli, saklama gerektirmeyen bir cüzdandır. Bu olayda, saldırganlar cüzdanın destek altyapısına, güncelleme süreçlerine ve marka kimliğine kullanıcıların koyduğu güveni istismar eden koordineli bir kimlik avı kampanyası başlattılar. Kurbanlar, Atomic Wallet’tan gelen meşru iletişimleri taklit etmek için tasarlanmış e-postalar, sahte web siteleri ve trojanlı yazılım güncellemeleri aracılığıyla kandırıldılar.

Kimlik Avı Vektörleri Şunları İçeriyordu:

• Sahte E-postalar: Acil eylem çağrısı yapan Atomic Wallet destek veya güvenlik uyarıları olarak davranıyordu.
• Sahte Web Siteleri: (örneğin, atomic-wallet[.]co) cüzdanın kurtarma veya ödül talep arayüzünü taklit ediyordu.
• Kötü Niyetli Güncellemeler: Discord, e-posta ve ele geçirilmiş forumlar aracılığıyla dağıtılan, kullanıcıları kimlik avı sayfalarına yönlendiren veya yerel kötü amaçlı yazılımlar aracılığıyla kimlik bilgilerini çıkaran güncellemelerdi.

Kullanıcılar bu sahte arayüzlere 12 veya 24 kelimelik kurtarma ifadelerini veya özel anahtarlarını girdiklerinde, saldırganlar cüzdanlarına tam erişim sağladı. Bu istismar, mağdurdan hiçbir zincir üstü etkileşim gerektirmedi: cüzdan bağlantısı yoktu, imza talepleri yoktu ve akıllı sözleşme katılımı da yoktu. Bunun yerine, tamamen sosyal mühendisliğe ve kullanıcının güvenilir bir platformda cüzdanını geri yüklemeye veya doğrulamaya istekli olmasına dayanıyordu.

3.2 Cüzdan Boşaltıcılar ve Kötü Niyetli Onaylar

Bir cüzdan boşaltıcı, cüzdanınızdaki varlıkları çalmak için özel anahtarınızı çalmaktan ziyade, sizi token erişimini yetkilendirmeye veya tehlikeli işlemleri imzalamaya kandırmak için tasarlanmış bir tür kötü niyetli akıllı sözleşme veya dApp’tir. Kimlik avından farklı olarak, boşaltıcılar izinleri istismar eder; Web3’ü güçlendiren güvenin temel mekanizmasını kullanır.

DeFi ve Web3 uygulamaları ana akıma girdiğinde, MetaMask ve Phantom gibi cüzdanlar dApp’lere “bağlanma” fikrini popüler hale getirdi. Bu kolaylık sağladı ama aynı zamanda büyük bir saldırı yüzeyi oluşturdu. 2021–2023 yılları arasında, onay boşaltıcılar NFT mint’leri, sahte airdroplar ve rug-pulled dApp’ler aracılığıyla popülaritesini artırdı ve tanıdık kullanıcı arayüzlerine kötü niyetli sözleşmeler gömülmeye başlandı. Kullanıcılar, genellikle heyecanlı veya dikkati dağılmış bir şekilde, cüzdanlarını bağlayıp “Onayla” butonuna tıklayarak neyi yetkilendirdiklerinin farkında olmadan hareket ettiler.

Bu, Kimlik Avından Nasıl Farklıdır?

Sosyal mühendislik, birinin hassas kimlik bilgilerini, örneğin bir kurtarma ifadesi, şifre veya özel anahtar gibi, gönüllü olarak ifşa etmesini sağlamak için kandırılmasını içerir. Cüzdanınızı bağlamak, anahtarlarınızı veya ifadelerinizi açığa çıkarmak anlamına gelmez, çünkü sırları teslim etmiyorsunuz, işlemleri imzalıyor veya izin veriyorsunuz. Bu istismarlar, kimlik bilgilerinizin çalınması değil, akıllı sözleşme mantığı aracılığıyla gerçekleşir, bu da onları sosyal mühendislikten mekanik olarak farklı kılar. Çoğu zaman bunu fark etmeden, boşaltmayı yetkilendiriyorsunuz, bu da kimlik hırsızlığından çok bir “rıza tuzağı” gibidir.

Kimlik avını KİMLİK BİLGİLERİNE DAYALI, cüzdan boşaltıcıları ve kötü niyetli onayları ise İZİN İLE DAYALI olarak düşünebilirsiniz.

Saldırının Mekanikleri:

Kötü niyetli onaylar, ERC-20 (tokenlar) ve ERC-721/ERC-1155 (NFT’ler) gibi blockchain standartlarındaki izin sistemlerini istismar eder. Kullanıcıları, saldırganlara varlıklarına sürekli erişim izni vermeye kandırırlar.

Token Onayının Temelleri:

• ERC-20 Tokenları: approve(address spender, uint256 amount) fonksiyonu, bir “spender”ın (örneğin, bir dApp veya saldırgan) kullanıcının cüzdanından belirli bir miktarda token transfer etmesine izin verir.
• NFT’ler: setApprovalForAll(address operator, bool approved) fonksiyonu bir “operator”a bir koleksiyondaki tüm NFT’leri transfer etme izni verir.

Bu onaylar dApp’ler için standarttır (örneğin, Uniswap tokenları değiştirmek için onaya ihtiyaç duyar), ancak saldırganlar bunları kötü niyetle kullanır.

Saldırganların Onay Alması Nasıl Olur:

• Aldatıcı İstekler: Bir kimlik avı sitesi veya ele geçirilmiş dApp, kullanıcıdan “cüzdan bağlantısı,” “token takası” veya “NFT talep” olarak etiketlenmiş bir işlemi imzalamasını ister. İşlem aslında saldırganın adresi için onay verme veya setApprovalForAll çağrısını yapar.
• Sınırsız Onaylar: Saldırganlar genellikle sınırsız token izinleri (örneğin, uint256.max) talep eder veya setApprovalForAll(true) ayarlar, bu da onlara kullanıcının tokenları veya NFT’leri üzerinde tam kontrol sağlar.
• Kör İmza: Bazı dApp’ler opak verileri imzalamayı gerektirir, bu da kötü niyetli onayları tespit etmeyi zorlaştırır. Ledger gibi donanım cüzdanlarıyla bile, gösterilen detaylar masum görünebilir (örneğin, “Token Onayla”) ancak saldırganın niyetini gizleyebilir.

Sömürü:

• Anlık Hırsızlık: Saldırgan, işlemin hemen ardından onayı kullanarak token/NFT’leri cüzdanına aktarır.
• Gecikmeli Hırsızlık: Saldırgan, varlıkları boşaltmak için (bazen haftalarca veya aylarca) bekler, şüpheyi azaltır. Örneğin, setApprovalForAll ile bir saldırgan, istediği zaman NFT’leri transfer edebilir.
• Kapsamlı Saldırılar: Angel Drainer gibi boşaltıcılar, piyasa pompalamaları veya yüksek değerli NFT düşüşleri sırasında birden fazla cüzdan üzerindeki onayları tarayıp topluca boşaltır.

Monkey Drainer Dolandırıcılığı

Monkey Drainer dolandırıcılığı, 2022 ve 2023’ün başlarında aktif olan, milyonlarca dolarlık kripto (NFT’ler dahil) çalmaktan sorumlu ünlü bir “drainer-as-a-service” (hizmet olarak boşaltıcı) kimlik avı aracıdır. Kullanıcıların kurtarma ifadelerini veya şifrelerini toplamak için geleneksel kimlik avının aksine, Monkey Drainer, kötü niyetli işlem imzaları ve akıllı sözleşme istismarı yoluyla çalışarak saldırganların doğrudan kimlik bilgisi ihlali olmadan token ve NFT’leriçıkarmasını sağladı. Kullanıcıları tehlikeli zincir üstü onaylarını imzalamaya kandırarak, Monkey Drainer 2023’ün başlarında kapatılmadan önce yüzlerce cüzdan üzerinden 4.3 milyon doların üzerinde hırsızlığa olanak tanıdı.

Şekil 7: Ünlü zincir üstü dedektif ZachXBT, Monkey Drainer dolandırıcılıklarını ortaya çıkarıyor. Kaynak: Twitter (@zachxbt)

Kit, düşük yetenekli saldırganlar arasında popülerdi ve yeraltı Telegram ve karanlık web topluluklarında yoğun bir şekilde pazarlanmaktaydı. Ortakların sahte mint sitelerini kopyalamalarına, gerçek projeleri taklit etmelerine ve arka uçları, imzalı işlemleri merkezi bir boşaltma sözleşmesine yönlendirecek şekilde yapılandırmalarına olanak tanıdı. Bu sözleşmeler, kullanıcıların saldırganın adresine varlıklara erişim izni veren mesajları bilmeden imzalamasına dayanan token izinlerini istismar edecek şekilde tasarlandı; bu, setApprovalForAll() (NFT’ler) veya permit() (ERC-20 tokenları) gibi işlevler aracılığıyla gerçekleşiyordu.
Özellikle, etkileşim akışı doğrudan kimlik avından kaçındı: mağdurlardan özel anahtarlar veya yedek kelimeler istenmedi. Bunun yerine, genellikle geri sayım veya heyecanlı marka ile mintleme sayfalarında görünen meşru dApp’lerleetkileşime girdiler. Bağlandıklarında, kullanıcılar tam olarak anlamadıkları bir işlemi imzalamaları için yönlendiriliyordu; bu genellikle genel onay dili veya cüzdan arayüzü karmaşasıyla maskelenmekteydi. Bu imzalar doğrudan fon transfer etmedi, ancak saldırgana bunu herhangi bir zamanda yapma yetkisi verdi. Yetkiler verildiğinde, boşaltıcı sözleşmesi tek bir blokta toplu para çekme işlemleri gerçekleştirebiliyordu.

Monkey Drainer yönteminin en belirgin özelliği gecikmeli yürütmesiydi: çalınan varlıklar genellikle saatler veya günler sonra boşaltılıyordu, şüpheyi önlemek ve getiriyi maksimize etmek için. Bu, büyük cüzdanlara veya aktif ticaret faaliyetlerine sahip kullanıcılar üzerinde özellikle etkili hale getiriyordu; onayları normal kullanım kalıplarıyla karışıyordu. Yüksek profilli kurbanlar arasında CloneX, Bored Apes ve Azuki gibi projelerden varlık kaybeden NFTkoleksiyoncuları da bulunuyordu.

Monkey Drainer 2023’te faaliyetlerini durdurmuş olsa da, muhtemelen “gizlenmek” için cüzdan boşaltıcıların dönemi evrimini sürdürmekte ve zincir üstü onayının gücünü yanlış anlayan veya hafife alan kullanıcılar için kalıcı bir tehdit oluşturmaktadır.

3.3 Kötü Amaçlı Yazılımlar ve Cihaz Sömürüleri

Son olarak, “kötü amaçlı yazılım ve cihaz istismarları”, bir kullanıcının bilgisayarını, telefonunu veya tarayıcısını tehlikeye atmayı amaçlayan çeşitli teslimat vektörlerini kapsayan geniş ve çok yönlü bir saldırı yelpazesini ifade eder. Bu genellikle aldatma yoluyla yüklenen kötü amaçlı yazılım aracılığıyla gerçekleşir. Amaç genellikle hassas bilgileri (örneğin, kurtarma ifadeleri, özel anahtarlar) çalmak, cüzdan etkileşimlerini kesmek veya saldırgana mağdurun cihazına uzaktan erişim sağlamaktır. Kripto dünyasında, bu saldırılar genellikle sahte bir iş teklifi, sahte bir uygulama güncellemesi veya Discord üzerinden gönderilen bir dosya gibi sosyal mühendislikle başlar, ancak hızla tam ölçekli sistem istismarına dönüşür.

Kötü amaçlı yazılımlar, kişisel bilgisayarların ilk günlerinden beri var olmuştur. Geleneksel bağlamlarda, kredi kartı bilgilerini çalmak, oturum açma bilgilerini toplamak veya sistemleri spam veya fidye yazılımı için ele geçirmek amacıyla kullanılıyordu. Kripto popülarite kazandıkça, saldırganlar yön değiştirdi: çevrimiçi bankacılık için kimlik bilgilerini hedeflemek yerine (geri alınabilir), artık geri alınamaz kripto varlıklarını çalmayı amaçlıyorlar.

Bu Saldırılar Nasıl Başlar… Sosyal Mühendislik Açısı

Çoğu kötü amaçlı yazılım rastgele yayılmaz: kurbanın bunu çalıştırması için kandırılması gerekir. İşte sosyal mühendisliğin devreye girdiği yer burasıdır.

Yaygın Teslimat Yöntemleri:

• Sahte İş Teklifleri: Kurban sahte bir Web3 işine başvurur, kötü amaçlı yazılım içeren bir “teknik test” veya “görüşme bağlantısı” alır.
• Discord veya Telegram Bağlantıları: “Hediye araçları”, “ekran görüntüleri” veya sahte destek dosyaları olarak gönderilir.
• E-posta Ekleri: Kötü amaçlı kod içeren özgeçmiş, beyaz kağıt veya fatura formatları (PDF, .docx, .exe).
• Sahte Güncellemeler: “En son MetaMask/Phantom sürümü” sunan açılır pencereler veya sahte siteler.
• Drive-by Downloads: Basitçe bir siteyi ziyaret etmek, özellikle eski tarayıcılarda, arka planda bir yükü tetikleyebilir.

Ortak nokta: Saldırgan, kullanıcının tıklamasını, indirmesini veya tehlikeli bir şeyi açmasını sağlayan inandırıcı bir bağlam yaratır.

Kripto Sömürülerinde Yaygın Olan Kötü Amaçlı Yazılım Türleri:

• Klavye Kaydediciler (Keyloggers): Kullanıcının yazdığı her tuş vuruşunu kaydeder, kurtarma ifadelerini, parolaları ve PIN’leri dahil. Kullanıcının kurtarma ifadesini bir metin düzenleyiciye, borsa girişine veya cüzdan kurtarma alanına yazması durumunda özellikle tehlikelidir.
• Panoya Hırsızları (Clipboard Hijackers): Kopyalanan cüzdan adreslerini izler ve yapıştırıldıklarında bunları saldırganın adresi ile değiştirir. Mağdurlar genellikle bunu fark etmez ve kendi adreslerini yapıştırdıklarını düşünerek fon gönderirler, ancak bu zaten değiştirilmiştir.
• Uzaktan Erişim Trojanları (RAT’lar): Saldırgana kurbanın cihazı üzerinde tam kontrol sağlar. Bu, dosyaları okuma, ekranları izleme, tarayıcı oturumlarını yakalama ve hatta Exodus gibi cüzdan uygulamalarından veya tarayıcı tabanlı cüzdanlardan kurtarma ifadelerini doğrudan dışa aktarmayı içerir.
• Sahte Cüzdanlar veya Uygulamalar: Gerçek cüzdanlar gibi görünürler ancak zararlı kodla önceden yüklenmiştir. Android APK sitelerinde veya Chrome uzantı mağazalarında yaygındır. Bazıları, fon gönderene veya bir kurtarma kelimesini geri yükleyene kadar işlevsel görünür, bu noktada fonlar dışarı aktarılır.
• Kötü Amaçlı Tarayıcı Uzantıları: Gerçek kripto uzantılarını tehlikeye atmak veya taklit etmek, etkinliği izlemek, kötü niyetli yükler enjekte etmek veya sahte imzalama istekleri başlatmak için kullanılır. Genellikle “cüzdan entegrasyonu” kılıfı altında geniş izinler talep ederler.
• Ortadaki Adam (MITM) Altyapısı: Kötü amaçlı yazılım, sizinle web arasındaki trafiği kesip manipüle etmek için bir proxy veya DNS kaçırması kurar; bu, adresleri değiştirmeyi veya imzalı işlemleri yönlendirmeyi içerir.

Örnek: 2022 Axie Infinity Dolandırıcılığı

2022’deki Axie Infinity iş dolandırıcılığı, büyük Ronin Bridge hack’ine yol açan, kripto alanında sofistike sosyal mühendislik ile yönlendirilen bir kötü amaçlı yazılım ve cihaz istismarı örneğidir. Kuzey Kore devlet destekli Lazarus Grubu’na atfedilen bu saldırı, yaklaşık 620 milyon dolar değerinde kripto paranın çalınmasına neden oldu ve bunu bugüne kadarki en büyük merkeziyetsiz finans (DeFi) hack’lerinden biri haline getirdi.

Şekil 8: Axie Infinity istismarı, geleneksel finans medyasına ulaştı.
Kaynak: Bloomberg TV

Hack, sosyal mühendislik, kötü amaçlı yazılım dağıtımı ve blockchain altyapı zayıflıklarının istismarı kombinleyen çok aşamalı bir operasyondu.

Sahte bir şirketten işe alımcılar gibi davranan hackerlar, Sky Mavis çalışanlarını LinkedIn üzerinden hedef aldı: Sky Mavis, popüler bir oyna-kazan blockchain oyunu olan Axie Infinity’yi güçlendiren Ethereum bağlantılı yan zincir Ronin Network’ün arkasındaki şirkettir. O sırada, Ronin ve Axie Infinity’nin yaklaşık 300 milyon dolar ve 4 milyar dolar civarında piyasa değerleri vardı.

Birden fazla çalışanla iletişime geçildi, ancak saldırganların güven inşa etmek için birden fazla sahte iş görüşmesi gerçekleştirdiği kıdemli bir mühendis ana hedef haline geldi ve mühendisi çekmek için son derece cömert bir tazminat paketi sundular. Saldırganlar, mühendise resmi bir iş teklifi gibi görünen bir PDF belge gönderdi. Mühendis, bunun işe alım sürecinin bir parçası olduğuna inanarak dosyayı şirket bilgisayarında indirdi ve açtı. PDF, açıldığında mühendisin sistemini enfekte eden bir RAT içeriyordu ve bu, hackerlara Sky Mavis’in iç sistemlerine erişim sağladı, muhtemelen ayrıcalık yükseltmesi veya ağ içinde yan hareket ile. Bu ihlal, Ronin Ağı’nın altyapısını hedef almak için bir tutunma sağladı.

Hackin mekanikleri, Ronin köprüsünü ve Axie DAO’yu istismar etmeye devam eden, bu araştırma makalesinin kapsamının ötesindedir; ancak bu istismar, yalnızca 30 milyon doların geri alındığı 620 milyon dolarlık bir soyguna (173.600 ETH ve 25.5MM USDC) yol açtı.

4. Kendinizi Nasıl Korursunuz? Güvenliğiniz İçin İpuçları

İstismar girişimleri giderek daha sofistike hale geliyor, ancak yine de belirgin işaretlere dayanıyor. Kırmızı bayraklar şunlardır:

• “Cüzdanınızı X’e talep etmek için içe aktarın”: Hiçbir meşru hizmet kurtarma kelimenizi istemez.
• İstenmeyen DM’ler: Özellikle destek, para veya sormadığınız bir sorunla ilgili yardım teklif edenler.
• Hafifçe yanlış yazılmış alan adları: Örnek olarak, metamask.io ile metarnask.io.
• Google Ads: Kimlik avı bağlantıları sıkça arama sonuçlarında gerçek bağlantının üzerinde görünmektedir.
• Gerçek olamayacak kadar iyi teklifler: “5 ETH talep et” veya “paranızı iki katına çıkarın” promosyonları.
• Acele veya korkutma taktikleri: “Hesabınız kilitlendi”, “Şimdi talep etmezseniz fonlarınızı kaybedersiniz.”
• Sınırsız Token Onayları: Kullanıcılar token miktarlarını kendileri ayarlamalıdır.
• Kör İmza Talepleri: Okunabilir açıklaması olmayan Hex yükleri.
• Doğrulanmamış veya belirsiz sözleşmeler: Eğer bir token veya dApp yeniyse, onayladığınız şeyi kontrol edin.
• Acil kullanıcı arayüzü ikna yöntemleri: “Bunu hemen imzalamalısınız yoksa kaçıracaksınız” gibi klasik baskı taktikleri.
• MetaMask İmza Açılır Pencereleri: Özellikle belirsiz yüklerle, gazsız işlemlerle veya anlamadığınız işlev çağrılarının karışımıyla.

Daha Fazla OpSec (Operasyonel Güvenlik) Kuralları:

Altın Kurallar:

• Asla kurtarma ifadenizi, kimseyle, herhangi bir nedenle paylaşmayın.
• Resmi siteleri yer imlerine ekleyin: Her zaman doğrudan gezinin. Cüzdanlar veya borsalar için asla arama motorlarını kullanmayın.
• Rastgele airdrop tokenlerine tıklamayın: Özellikle katılmadıysanız.
• İstenmeyen DM’lerden kaçının: Gerçek projeler NADİREN ilk DM atar.
• Donanım cüzdanları kullanın: Bu, kör imzalama riskini azaltır ve anahtar ifşasını önler.
• Kimlik avı koruma araçlarını etkinleştirin: PhishFort, Revoke.cash ve reklam engelleyicileri gibi uzantıları kullanın.
• Sadece okunabilen gezginleri kullanın: Etherscan Token Approvals veya Revoke.cash gibi araçlar, cüzdanınızın hangi izinlere sahip olduğunu gösterir.
• Yakar cüzdanlar (Burner Wallets) kullanın: Mintleri veya bağlantıları test etmek için sıfır veya az miktarda fon ile yeni bir cüzdan oluşturun. Bu, olası kayıpları en aza indirecektir.
• Varlıklarınızı segmentlere ayırın: Tüm varlıklarınızı tek bir konumda bulundurmayın.

Deneyimli Kripto Kullanıcıları İçin İleri Düzey Uygulamalar:

• Kripto faaliyetleri için özel bir cihaz veya tarayıcı profili kullanın. Ayrıca bağlantıları ve DM’leri açmak için özel bir cihazınız olabilir.
• Etherscan’in token uyarı etiketlerini kontrol edin: Birçok dolandırıcılık tokenı işaretlenmiştir.
• Resmi proje duyuruları ile sözleşme adreslerini çapraz kontrol edin.
• URL’leri dikkatlice inceleyin: Özellikle e-postalarda ve sohbetlerde, ince yazım hataları yaygındır. Birçok mesajlaşma uygulaması ve elbette web siteleri köprüleme yapmaya izin verir; bu, birinin bunu yapmasına olanak tanır: www.google.com (sorun değil, bağlantıya tıklayabilirsiniz).
• İmzaladıklarınıza dikkat edin: Onaylamadan önce her zaman işlemleri çözümleyin (örneğin MetaMask, Rabbyveya bir simülatör aracılığıyla).

5. Son Söz: Farkındalık Anahtardır

Çoğu kullanıcı, kripto dünyasında istismarları teknik ve kaçınılmaz bir şey olarak düşünmektedir, özellikle sektöre yeni girenler için. Bu karmaşık saldırı yöntemleri için doğru olabilirken, çoğu zaman ilk adım bireyi teknik olmayan yollarla hedef alır ve bu da geri kalan istismarın önlenmesini sağlar.

Bu alandaki kişisel kayıpların büyük çoğunluğu, yeni bir sıfır gün hatası veya nadir bir protokol hatasından değil, insanların okumadıkları şeylere onay vermesinden, sahte uygulamalara cüzdanlarını aktarmasından veya oldukça makul görünen bir DM’ye güvenmesinden kaynaklanıyor. Araçlar yeni olabilir, ancak taktikler zaman kadar eskidir: aldatma, aciliyet, yönlendirme.

İnsanlar, kendine ait saklama ve izin gerektirmeyen doğası için kriptoya gelir, ancak kullanıcılar burada risklerin daha yüksek olduğunu unutmamalıdır. Geleneksel finansal sistemde dolandırılırsınız ve bankayı ararsınız. Kripto dünyasında dolandırılırsınız ve hikaye burada sona erer.

Bu makale, Presto Araştırma kaynağından alıntılanmıştır. İçeriğin tüm telif hakları yazara aittir. Telif haklarına ilişkin sorularınız için bizimle iletişime geçebilirsiniz.