Bu son saldırı, Nisan ayında müşterilere gönderilen sahte Ledger markalı mektuplar da dahil olmak üzere önceki kimlik avı kampanyalarının ardından gerçekleşti. Ethereum'un en son Pectra güncellemesi ayrıca, kullanıcı onayı olmadan cüzdanların kontrolünü ele geçirebilecek off-chain imzalarını etkinleştiren tehlikeli bir güvenlik açığını EIP-7702 aracılığıyla tanıttı. Bu, güvenlik araştırmacıları arasında bazı büyük endişelere yol açtı ve tehdit kritik olarak nitelendirildi. BNB Chain'de, Mobius Token (MBU), kötü niyetli bir akıllı sözleşmenin milyonlarca tokenı boşaltıp bunları stablecoinlere dönüştürdüğü bir $2.15 milyon istismarına uğradı.
Defter Kullanıcıları Tekrar Hedef Alındı
Donanım cüzdanı sağlayıcısı Ledger, 11 Mayıs'ta bir saldırganın bir moderatörün hesabını ele geçirmesinin ardından Discord sunucusunun güvenli hale getirildiğini doğruladı. Saldırgan, kullanıcıları cüzdan tohum ifadelerini açığa çıkarmaya ikna etmek için kötü niyetli bağlantılar paylaşmak üzere bunu kullandı.
Ledger ekip üyesi Quintin Boatwright'a göre, ihlal hızlı bir şekilde kontrol altına alındı. Güvenliği ihlal edilmiş moderatör hesabı kaldırıldı, kötü amaçlı bot silindi, dolandırıcı web sitesi bildirildi ve daha fazla kötüye kullanımı önlemek için tüm izinler gözden geçirildi ve kilitlendi. Ancak bazı topluluk üyeleri, saldırganın ihlali bildirmeye çalışan kullanıcıları yasaklamak ve sessize almak için moderatör ayrıcalıklarını kötüye kullandığını ve bunun Ledger'ın ilk yanıtını geciktirmiş olabileceğini iddia etti.
Dolandırıcılık, Ledger'ın sistemlerinde yeni keşfedilen bir güvenlik açığını iddia eden bir mesajı içeriyordu ve kullanıcıları sahte bir bağlantı aracılığıyla tohum ifadelerini doğrulamaya zorladı. Kullanıcılardan cüzdanlarını bağlamaları ve sahte ekran talimatlarını takip etmeleri istendi, bu da fon kaybı riski oluşturdu. Henüz herhangi bir kullanıcının bu dolandırıcılığa kurban olup olmadığı belirsizken, yanıltıcı mesajların ekran görüntüleri X'te geniş çapta yayıldı.
Bu en son kimlik avı girişimi, endişe verici bir eğilimi takip ediyor. Nisan ayında, dolandırıcılar Ledger donanım cüzdanı sahiplerine fiziksel mektuplar gönderdi ve onları güvenlik kontrolü bahanesiyle kurtarma ifadelerini QR kodları aracılığıyla girmeye zorladı. Bu mektuplar resmi marka ve referanslar içeriyordu, böylece meşru görünmeleri sağlandı.
Bazı alıcılar, e-posta gönderimlerinin Temmuz 2020'deki bir veri ihlaliyle bağlantılı olduğunu öne sürdü; bu ihlalde 270.000'den fazla Ledger müşterisinin kişisel bilgileri—isimler, telefon numaraları ve adresler—çevrimiçi olarak sızdırıldı. İhlalin olduğu yıldan sonraki yıl, birkaç kullanıcı, kötü amaçlı yazılımlarla donatılmış sahte Ledger cihazları aldıklarını bildirdi. Genel olarak, Ledger müşterilerinin sofistike dolandırıcılar tarafından özel olarak hedef alındığı anlaşılıyor.
Pectra Güncellemesi Tehlikeli Bir Açık Tanıtıyor
Sadece Ledger kullanıcılarının dikkatli olması gerekmiyor. Ethereum'un 7 Mayıs'ta hayata geçen son Pectra ağ yükseltmesi, ölçeklenebilirliği artırmak ve akıllı hesap işlevselliğini geliştirmek amacıyla güçlü yeni özellikler tanıttı. Ancak, bu aynı zamanda hackerların yalnızca bir off-chain imzası kullanarak kullanıcı cüzdanlarını boşaltmalarına olanak tanıyabilecek ciddi bir yeni saldırı vektörü de ortaya çıkardı.
Meselenin merkezinde, kullanıcıların dışarıdan sahip oldukları hesaplarını (EOAs) bir akıllı sözleşmeye devretmelerini sağlayan, mesaj imzalayarak — on-chain işlem göndermeye gerek kalmadan — yükseltmenin önemli bir parçası olan EIP-7702 bulunuyor.
Bu değişiklik, saldırganların farkında olmadan kullanıcıları oltalama girişimleri veya sahte uygulamalar aracılığıyla istismar etmelerine olanak tanır. Kötü niyetli bir aktör geçerli bir imza elde ederse, ( türündeki SetCode işlemini 0x04) kullanarak kurbanın cüzdanına, saldırganın kontrolündeki bir sözleşmeye yönlendiren kod yükleyebilir. Buradan, kullanıcı tipik bir işlemi asla yetkilendirmeden ETH veya token'ları cüzdandan transfer edebilir. Arda Usman ve Yehor Rudytsia gibi güvenlik araştırmacıları, bu riskin acil ve kritik olduğunu doğruladılar. tx.origin kontrolleri gibi eski varsayımlara bağlı olan akıllı sözleşmeler artık savunmasız.
Bu saldırıyı özellikle tehlikeli kılan, sıradan off-chain etkileşimler — Discord mesajları, oltalama web siteleri veya sahte DApp'ler aracılığıyla ne kadar kolay bir şekilde gerçekleştirilebileceğidir. Yeni işlem türünü doğru bir şekilde görüntülemeyen veya yorumlamayan cüzdan arayüzleri özellikle risk altındadır ve imzalar, chain_id = 0 imzalarının potansiyeli nedeniyle herhangi bir Ethereum uyumlu zincirde yeniden kullanılabilir. Rudytsia, bundan sonra hatta donanım cüzdanlarının kötü niyetli delegasyon mesajlarını imzalamaya karşı savunmasız olduğunu açıkladı.
Kullanıcılara anlamadıkları mesajları imzalamamaları, özellikle hesap nonce'ları veya tanınmamış formatlarla ilgili olanları imzalamamaları tavsiye edilir. Cüzdan geliştiricileri, EIP-7702 tarafından etkinleştirilen mesajların genellikle EIP-191 ve EIP-712 gibi mevcut standartları atladığı için, imza ayrıştırma ve delegasyon girişimleri için net uyarılar entegre ederek hızlı bir şekilde uyum sağlamalıdır.
Multisig cüzdanlar birden fazla onay gerektirdiği için daha fazla koruma sunsa da, tek anahtarlı cüzdanların bu yeni tehditleri tespit etmek için evrim geçirmesi gerekiyor. EIP-7702 ile birlikte, Pectra yükseltmesi ayrıca, doğrulayıcı staking sınırını 2,048 Eter'e çıkaran EIP-7251'i ve blok başına veri blobu sayısını artırarak katman-2 ölçeklenebilirliğini geliştiren EIP-7691'i içeriyordu. Ne yazık ki, delegasyon mekanizmasının istenmeyen sonuçları zaten en önemli güvenlik endişesi olmaya başladı.
Mobius Token Saldırıya Uğradı
Bu arada, blockchain güvenlik firması Cyvers Alerts'a göre, 11 Mayıs'ta hedefli bir saldırıdan sonra BNB Chain üzerindeki Mobius Token (MBU) akıllı sözleşmelerinden 2.15 milyon dolardan fazla dijital varlık çalındı. Saldırı, kötü niyetli bir akıllı sözleşmenin dağıtımından sadece birkaç dakika sonra, hassas bir şekilde gerçekleştirildi. Cyvers, bu durumu saldırı gerçekleşmeden önce şüpheli olarak işaretledi.
Saldırgan, 0xb32a53 cüzdan adresini kullanarak istismarı başlattı... yaklaşık 07:33 UTC'de, kötü amaçlı sözleşmeyi dağıttıktan sadece iki dakika sonra. İstismar, 0xb5252f olarak tanımlanan bir kurban cüzdanını hedef aldı... ve 28,5 milyon MBU jetonunu başarıyla boşalttı. Çalınan tokenler daha sonra hızlı bir şekilde USDT sabit paralarına dönüştürüldü ve bu da toplam 2.152.219,99 $ kayıpla sonuçlandı. Cyvers, saldırganın sözleşme adresini 0x631adf kullandığını doğruladı... bir dizi kötü niyetli işlem gerçekleştirmek.
Güvenlik firması, hatayı "kritik" olarak etiketledi, çünkü hacker tarafından kullanılan şüpheli sözleşme mantığı ve anormal işlem davranışı vardı. Şu anda, saldırganın cüzdanı aktif kalmaya devam ediyor ve çalınan fonlar Tornado Cash'e yatırıldı.
Bu istismar, 2025'te artan kripto hırsızlıklarının daha geniş bir eğiliminin parçasıdır. Blockchain güvenlik firması PeckShield'in raporuna göre, yalnızca Nisan ayında 18 büyük hacking olayı sonucunda yaklaşık 360 milyon dolar değerinde kripto varlık çalındı. Bu, Mart ayına kıyasla kayıplarda şaşırtıcı bir şekilde %990'lık bir artıştı; o ay yalnızca 33 milyon dolar hackler nedeniyle kaybedilmişti.
Nisan ayındaki toplamı etkileyen en ciddi olaylardan biri, 330 milyon dolar değerinde Bitcoin'in yetkisiz bir şekilde transfer edilmesiydi. Bu olayın, yaşlı bir ABD sakinine yönelik bir sosyal mühendislik saldırısının sonucu olduğu daha sonra doğrulandı.
Genel olarak, Mobius Token istismarı, DeFi platformları genelinde geliştirilmiş sözleşme denetimi ve gerçek zamanlı tehdit tespit sistemlerine olan acil ihtiyacı bir kez daha hatırlatmaktadır.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Hackerlar, Kimlik Avı Bağlantılarını Yaymak İçin Ledger Moderator Hesabını Sömürüyor
Bu son saldırı, Nisan ayında müşterilere gönderilen sahte Ledger markalı mektuplar da dahil olmak üzere önceki kimlik avı kampanyalarının ardından gerçekleşti. Ethereum'un en son Pectra güncellemesi ayrıca, kullanıcı onayı olmadan cüzdanların kontrolünü ele geçirebilecek off-chain imzalarını etkinleştiren tehlikeli bir güvenlik açığını EIP-7702 aracılığıyla tanıttı. Bu, güvenlik araştırmacıları arasında bazı büyük endişelere yol açtı ve tehdit kritik olarak nitelendirildi. BNB Chain'de, Mobius Token (MBU), kötü niyetli bir akıllı sözleşmenin milyonlarca tokenı boşaltıp bunları stablecoinlere dönüştürdüğü bir $2.15 milyon istismarına uğradı.
Defter Kullanıcıları Tekrar Hedef Alındı
Donanım cüzdanı sağlayıcısı Ledger, 11 Mayıs'ta bir saldırganın bir moderatörün hesabını ele geçirmesinin ardından Discord sunucusunun güvenli hale getirildiğini doğruladı. Saldırgan, kullanıcıları cüzdan tohum ifadelerini açığa çıkarmaya ikna etmek için kötü niyetli bağlantılar paylaşmak üzere bunu kullandı.
Ledger ekip üyesi Quintin Boatwright'a göre, ihlal hızlı bir şekilde kontrol altına alındı. Güvenliği ihlal edilmiş moderatör hesabı kaldırıldı, kötü amaçlı bot silindi, dolandırıcı web sitesi bildirildi ve daha fazla kötüye kullanımı önlemek için tüm izinler gözden geçirildi ve kilitlendi. Ancak bazı topluluk üyeleri, saldırganın ihlali bildirmeye çalışan kullanıcıları yasaklamak ve sessize almak için moderatör ayrıcalıklarını kötüye kullandığını ve bunun Ledger'ın ilk yanıtını geciktirmiş olabileceğini iddia etti.
Dolandırıcılık, Ledger'ın sistemlerinde yeni keşfedilen bir güvenlik açığını iddia eden bir mesajı içeriyordu ve kullanıcıları sahte bir bağlantı aracılığıyla tohum ifadelerini doğrulamaya zorladı. Kullanıcılardan cüzdanlarını bağlamaları ve sahte ekran talimatlarını takip etmeleri istendi, bu da fon kaybı riski oluşturdu. Henüz herhangi bir kullanıcının bu dolandırıcılığa kurban olup olmadığı belirsizken, yanıltıcı mesajların ekran görüntüleri X'te geniş çapta yayıldı.
Bu en son kimlik avı girişimi, endişe verici bir eğilimi takip ediyor. Nisan ayında, dolandırıcılar Ledger donanım cüzdanı sahiplerine fiziksel mektuplar gönderdi ve onları güvenlik kontrolü bahanesiyle kurtarma ifadelerini QR kodları aracılığıyla girmeye zorladı. Bu mektuplar resmi marka ve referanslar içeriyordu, böylece meşru görünmeleri sağlandı.
Bazı alıcılar, e-posta gönderimlerinin Temmuz 2020'deki bir veri ihlaliyle bağlantılı olduğunu öne sürdü; bu ihlalde 270.000'den fazla Ledger müşterisinin kişisel bilgileri—isimler, telefon numaraları ve adresler—çevrimiçi olarak sızdırıldı. İhlalin olduğu yıldan sonraki yıl, birkaç kullanıcı, kötü amaçlı yazılımlarla donatılmış sahte Ledger cihazları aldıklarını bildirdi. Genel olarak, Ledger müşterilerinin sofistike dolandırıcılar tarafından özel olarak hedef alındığı anlaşılıyor.
Pectra Güncellemesi Tehlikeli Bir Açık Tanıtıyor
Sadece Ledger kullanıcılarının dikkatli olması gerekmiyor. Ethereum'un 7 Mayıs'ta hayata geçen son Pectra ağ yükseltmesi, ölçeklenebilirliği artırmak ve akıllı hesap işlevselliğini geliştirmek amacıyla güçlü yeni özellikler tanıttı. Ancak, bu aynı zamanda hackerların yalnızca bir off-chain imzası kullanarak kullanıcı cüzdanlarını boşaltmalarına olanak tanıyabilecek ciddi bir yeni saldırı vektörü de ortaya çıkardı.
Meselenin merkezinde, kullanıcıların dışarıdan sahip oldukları hesaplarını (EOAs) bir akıllı sözleşmeye devretmelerini sağlayan, mesaj imzalayarak — on-chain işlem göndermeye gerek kalmadan — yükseltmenin önemli bir parçası olan EIP-7702 bulunuyor.
Bu değişiklik, saldırganların farkında olmadan kullanıcıları oltalama girişimleri veya sahte uygulamalar aracılığıyla istismar etmelerine olanak tanır. Kötü niyetli bir aktör geçerli bir imza elde ederse, ( türündeki SetCode işlemini 0x04) kullanarak kurbanın cüzdanına, saldırganın kontrolündeki bir sözleşmeye yönlendiren kod yükleyebilir. Buradan, kullanıcı tipik bir işlemi asla yetkilendirmeden ETH veya token'ları cüzdandan transfer edebilir. Arda Usman ve Yehor Rudytsia gibi güvenlik araştırmacıları, bu riskin acil ve kritik olduğunu doğruladılar. tx.origin kontrolleri gibi eski varsayımlara bağlı olan akıllı sözleşmeler artık savunmasız.
Bu saldırıyı özellikle tehlikeli kılan, sıradan off-chain etkileşimler — Discord mesajları, oltalama web siteleri veya sahte DApp'ler aracılığıyla ne kadar kolay bir şekilde gerçekleştirilebileceğidir. Yeni işlem türünü doğru bir şekilde görüntülemeyen veya yorumlamayan cüzdan arayüzleri özellikle risk altındadır ve imzalar, chain_id = 0 imzalarının potansiyeli nedeniyle herhangi bir Ethereum uyumlu zincirde yeniden kullanılabilir. Rudytsia, bundan sonra hatta donanım cüzdanlarının kötü niyetli delegasyon mesajlarını imzalamaya karşı savunmasız olduğunu açıkladı.
Kullanıcılara anlamadıkları mesajları imzalamamaları, özellikle hesap nonce'ları veya tanınmamış formatlarla ilgili olanları imzalamamaları tavsiye edilir. Cüzdan geliştiricileri, EIP-7702 tarafından etkinleştirilen mesajların genellikle EIP-191 ve EIP-712 gibi mevcut standartları atladığı için, imza ayrıştırma ve delegasyon girişimleri için net uyarılar entegre ederek hızlı bir şekilde uyum sağlamalıdır.
Multisig cüzdanlar birden fazla onay gerektirdiği için daha fazla koruma sunsa da, tek anahtarlı cüzdanların bu yeni tehditleri tespit etmek için evrim geçirmesi gerekiyor. EIP-7702 ile birlikte, Pectra yükseltmesi ayrıca, doğrulayıcı staking sınırını 2,048 Eter'e çıkaran EIP-7251'i ve blok başına veri blobu sayısını artırarak katman-2 ölçeklenebilirliğini geliştiren EIP-7691'i içeriyordu. Ne yazık ki, delegasyon mekanizmasının istenmeyen sonuçları zaten en önemli güvenlik endişesi olmaya başladı.
Mobius Token Saldırıya Uğradı
Bu arada, blockchain güvenlik firması Cyvers Alerts'a göre, 11 Mayıs'ta hedefli bir saldırıdan sonra BNB Chain üzerindeki Mobius Token (MBU) akıllı sözleşmelerinden 2.15 milyon dolardan fazla dijital varlık çalındı. Saldırı, kötü niyetli bir akıllı sözleşmenin dağıtımından sadece birkaç dakika sonra, hassas bir şekilde gerçekleştirildi. Cyvers, bu durumu saldırı gerçekleşmeden önce şüpheli olarak işaretledi.
Saldırgan, 0xb32a53 cüzdan adresini kullanarak istismarı başlattı... yaklaşık 07:33 UTC'de, kötü amaçlı sözleşmeyi dağıttıktan sadece iki dakika sonra. İstismar, 0xb5252f olarak tanımlanan bir kurban cüzdanını hedef aldı... ve 28,5 milyon MBU jetonunu başarıyla boşalttı. Çalınan tokenler daha sonra hızlı bir şekilde USDT sabit paralarına dönüştürüldü ve bu da toplam 2.152.219,99 $ kayıpla sonuçlandı. Cyvers, saldırganın sözleşme adresini 0x631adf kullandığını doğruladı... bir dizi kötü niyetli işlem gerçekleştirmek.
Güvenlik firması, hatayı "kritik" olarak etiketledi, çünkü hacker tarafından kullanılan şüpheli sözleşme mantığı ve anormal işlem davranışı vardı. Şu anda, saldırganın cüzdanı aktif kalmaya devam ediyor ve çalınan fonlar Tornado Cash'e yatırıldı.
Bu istismar, 2025'te artan kripto hırsızlıklarının daha geniş bir eğiliminin parçasıdır. Blockchain güvenlik firması PeckShield'in raporuna göre, yalnızca Nisan ayında 18 büyük hacking olayı sonucunda yaklaşık 360 milyon dolar değerinde kripto varlık çalındı. Bu, Mart ayına kıyasla kayıplarda şaşırtıcı bir şekilde %990'lık bir artıştı; o ay yalnızca 33 milyon dolar hackler nedeniyle kaybedilmişti.
Nisan ayındaki toplamı etkileyen en ciddi olaylardan biri, 330 milyon dolar değerinde Bitcoin'in yetkisiz bir şekilde transfer edilmesiydi. Bu olayın, yaşlı bir ABD sakinine yönelik bir sosyal mühendislik saldırısının sonucu olduğu daha sonra doğrulandı.
Genel olarak, Mobius Token istismarı, DeFi platformları genelinde geliştirilmiş sözleşme denetimi ve gerçek zamanlı tehdit tespit sistemlerine olan acil ihtiyacı bir kez daha hatırlatmaktadır.