Bir kripto yatırımcısı, blockchain tabanlı finansta büyüyen ve sofistike bir tehdit olan sıfır transfer dolandırıcılıklarını vurgulayan, üç saatlik bir süre içinde neredeyse birbirine özdeş iki phishing saldırısında stablecoins olarak 2,6 milyon dolar kaybetti.
Olay, kripto güvenlik firması Cyvers tarafından 26 Mayıs'ta işaretlenen iki büyük Tether (USDT) işlemi içeriyordu - ilki 843,000 dolar, saatler sonra ise 1,75 milyon dolarlık başka bir transfer yapıldı. Her iki durumda da, kurbanın, sıfır değer transferi olarak bilinen aldatıcı bir zincir içi taktiğe kapıldığı görülüyor, bu yöntem dolandırıcıların, cüzdan adresleri etrafında kullanıcı alışkanlıklarını hedefleyen bir phishing yöntemidir.
Bu çifte kayıp, mevcut kullanıcıya yönelik cüzdan arayüzlerinin sınırlamalarını, kripto suçlarında zeki sosyal mühendisliğin yükselişini ve Web3 genelinde sağlam güvenlik çözümlerinin acil ihtiyacını gösteriyor.
Sıfır değerli transferler, kullanıcıların işlem geçmişini ve cüzdan adreslerine güvenini nasıl yorumladıkları konusundaki bir açığı suistimal eder. Bu teknik, herhangi bir tarafın kullanıcının izni olmadan - miktar sıfır ise - bir token transferi başlatmasına izin veren ERC-20 token standartının transferFrom fonksiyonunu kötüye kullanır.
Gerçek tokenler taşınmadığından, bu sahte sıfır değerli işlemler hedef cüzdanın dijital imzasını gerektirmez. Yine de zincir üzerine kaydedilir ve genellikle mağdurları, sahte adresin önceden güvenilen bir adres olduğuna inandırarak yanıltır.
Etkili olarak, dolandırıcılar kurbanın işlem geçmişini, meşru görünen ancak zararsız olan sıfır değerli transferlerle "zehirleyerek" etkiler. Kurban daha sonra gerçek bir işlem yapmaya gittiğinde - belki cüzdan geçmişini kullanarak veya daha önce etkileşimde bulunulan bir adresi kopyalayarak - fondları dolandırıcının sahte adresine yanlışlıkla gönderebilir.
Bu suistimal, kullanıcıların tanıdıkları kişilere ait olduğuna inandıkları bilinen adreslere benzeyecek şekilde tasarlanmış cüzdan adreslerinden küçük miktarlarda kripto para gönderen adres zehirleme olarak bilinen ilgili bir saldırı yönteminden beslenir ve onu genişletir. Bu genellikle kullanıcının adrese sadece kısmen güvenmesine - genellikle ilk ve son dört karaktere - dayalı olarak, tam dizesi doğrulamak yerine yararlanır.
Gelişmiş Phishing
Sıfır transfer ve adres zehirleme dolandırıcılıklarındaki asıl tehlike kriptografik protokolleri kırmakta değil, kullanıcı davranışını manipüle etmektir. Kripto cüzdan arayüzleri - özellikle tarayıcı tabanlı cüzdanlar ve mobil uygulamalar - sık sık adres geçmişlerini ve önceki işlemleri güven, güvenlik ya da önceki kullanım göstergeleri olarak ön plana çıkarır. Bu, kodda bir açık bulunmasına değil insan karar verme sürecinin manipüle edilmesine dayalı bir saldırı yüzeyi yaratır.
Yakın zamanda yaşanan 2,6 milyon dolarlık hırsızlık olayında, kurban muhtemelen cüzdanının işlem geçmişini bir adresi başlatmak veya doğrulamak için kullanmış, fonları önceden tanıdığı veya güvendiği bir kişiye gönderdiğine inanmıştır. Üç saat içinde saldırının tekrarlanması, kurbanın ilk kaybı zamanında tespit edemediği veya ilk işlemin meşru olduğuna inandığı anlamına geliyor - her iki durum da dolandırıcının gerçek zamanlı olarak ne kadar gizli ve ikna edici olabileceğini gösteriyor.
Kayıplar yalnızca USDT (Tether) cinsinden oldu, zincir üzerinde günlük milyarlarca hacme sahip yaygın bir şekilde kullanılan stablecoin. USDT, genellikle büyük kurumsal ve perakende transferlerde kullanıldığından, yüksek değerli cüzdanları hedefleyen hassas dolandırıcılıklar için birincil hedef haline gelmiştir.
Zehirleme Saldırıları Yükseliyor
Olay izole bir vaka değil. Ocak 2025'te yayınlanan kapsamlı bir çalışma, Temmuz 2022 ve Haziran 2024 arasında Ethereum ve BNB Zinciri genelinde 270 milyondan fazla adres zehirleme girişiminin kaydedildiğini ortaya koydu. Bu saldırılardan sadece 6,000 tanesi başarılı oldu ancak topluca 83 milyon dolardan fazla teyitli kayba neden oldular.
Başarılı olup olmamasına bakılmaksızın girişimlerin çokluğu, zehirleme stratejilerinin yürütülmesinin ucuz olduğunu ve kullanıcıların davranışsal eğilimleri ile yaygın kripto cüzdanlarda anti-phishing kullanıcı deneyimi eksikliği nedeniyle etkili kaldığını önermektedir.
Bireysel vakalarda hasarın ölçeği dikkat çekici. 2023'te benzer bir sıfır transfer dolandırıcılığı, USDT'de 20 milyon doların çalınmasına neden oldu ve Tether sonunda cüzdanı kara listeye aldı. Ancak kara listeye alma evrensel bir güvenlik önlemi değil - birçok token ihracatçı kara listeyi desteklemiyor ve tüm blockchain ağları benzer müdahale araçları sunmuyor.
AI Algılama Araçları ve Arayüz Yenilikleri
Zero transfer phishing saldırılarının artmasına yanıt olarak, birkaç siber güvenlik ve cüzdan altyapısı firması riskleri daha akıllı algılama sistemleri ile hafifletmeye çalışıyor.
Bu yılın başlarında, blockchain güvenlik firması Trugard, zincir üstü güvenlik protokolü Webacy ile işbirliği yaparak potansiyel adres zehirleme girişimlerini özel olarak işaretlemek üzere tasarlanmış bir AI tabanlı algılama sistemi tanıttı. Geliştiricilerine göre, bu araç tarihsel saldırı verilerini içeren testlerde %97 doğruluk oranını göstermiştir.
Sistem, işlem meta verileri, transfer davranışı ve adres benzerliklerindeki kalıpları analiz ederek bir işlem onaylanmadan önce kullanıcılara uyarılar gönderir. Ancak, popüler cüzdanlar arasında daha geniş ölçekli benimseme, birçok platform hala üçüncü taraf güvenlik araçlarını entegre etme sürecinde olduğundan dolayı sınırlıdır.
Bazı cüzdan geliştiricileri ayrıca işlem geçmişlerinin nasıl sunulduğuna dair değişiklikler keşfetmektedir. Örneğin, sıfır değerli işlemleri işaretleme, adresleri güven puanlarına göre renklendirme ve tam adres doğrulamasını kolaylaştırmak, dolandırıcılığın başarı oranlarını bozmanın yolları olarak düşünülen stratejilerdir. Ancak bu tür arayüz değişiklikleri endüstri çapında standart hale gelmedikçe, kullanıcılar tehditlere açık kalacaktır.
Hukuki ve Düzenleyici Kör Noktalar
Sıfır transfer dolandırıcılıkları teknolojik olarak basit olsa da, failler hakkında hukuki işlem karmaşıktır ve nadiren başarılı olur. Bu dolandırıcılıkların çoğu takma adlarla ya da yabancı varlıklarla başlatılır ve fonlar hızla merkezi olmayan borsalar, mikserler veya zincirler arası köprüler yoluyla aklanır.
Tether gibi stablecoin ihraççıları sadece merkezi kontrol mekanizmaları varsa müdahale edebilir ve ancak çalınan fonlar dokunulmamış veya izlenebilir durumda kalırsa. Saldırganlar fonları gizlilik havuzlarına taşıdığında veya diğer varlıklara çevirdiklerinde, geri alma neredeyse imkansız hale gelir.
Ek olarak, hukuk uygulama ajansları, bu tür saldırıları araştırmak için yeterli teknik uzmanlık ya da yargı yetkisine sahip olmayabilir, özellikle daha büyük organize kampanyaların parçası olmadıkça.
Son Savunma Hattı
Şu an itibariyle, son kullanıcılar büyük değerli transferler sırasında blockchain adresleriyle etkileşim kurarken daha dikkatli olmalıdırlar. En iyi uygulamalar şunları içerir:
- Adresin tamamını, sadece ilk/son karakterleri değil, doğrulamak.
- Adresleri kopyalamak için cüzdan geçmişini kullanmaktan kaçınmak.
- Bilinen adresleri resmi kaynaklardan manuel olarak yer imlerine eklemek.
- Dahili phishing tespiti olan cüzdanları kullanmak, mümkünse.
- Gelen sıfır değerli transferleri potansiyel uyarı işaretleri olarak izlemek.
Zero transfer phishing saldırılarındaki artış, Web3 tehditlerinin protokol seviyesindeki saldırılardan, zincir üstü meta verileri kullanarak sosyal mühendislik saldırılarına doğru bir kaymaya işaret ediyor. Kamu blockzincirlerinde varlıkların değeri arttıkça, bu yöntemlerin sofistikeleşmesi de artacak - bu nedenle kullanıcı eğitimi ve daha iyi cüzdan araçları, fonları korumak için kritik öneme sahip.