Başlıklar
Cyvers’a göre saldırgan, birden fazla uygulama kullanıcı arayüzüne kötü amaçlı kod yerleştirilmesine neden olarak, istismarcının kullanıcıları işlemleri onaylama konusunda kandırmasına olanak tanıdı.
Blockchain güvenlik platformu Cyvers’ın arkasındaki ekibe göre, 14 Aralık’ta birden fazla Web3 uygulamasından en az 484.000 dolar çalan Ledger korsanı, bunu kullanıcıları kötü niyetli token onayları vermeleri için kandırarak yaptı.
İlgili birden fazla tarafın yaptığı basın açıklamalarına göre, saldırı 14 Aralık sabahı gerçekleşti. Saldırgan, eski bir Ledger çalışanının bilgisayarını ele geçirmek için kimlik avı istismarı kullandı ve çalışanın düğüm paketi yöneticisi JavaScript (NPMJS) hesabına erişim sağladı.
Erişim elde ettikten sonra Ledger Connect’in GitHub deposuna kötü amaçlı bir güncelleme yüklediler. Ledger Connect, Web3 uygulamaları için yaygın olarak kullanılan bir pakettir.
Bazı Web3 uygulamalarının yeni sürüme yükseltilmesi, uygulamalarının kötü amaçlı kodu kullanıcıların tarayıcılarına dağıtmasına neden oldu. Web3 uygulamaları Zapper, SushiSwap, Phantom, Balancer ve Revoke.cash koda bulaştı.
Sonuç olarak saldırgan, bu uygulamaların kullanıcılarından en az 484.000 doları hortumlamayı başardı. Diğer uygulamalar da etkilenebilir ve uzmanlar, güvenlik açığının tüm Ethereum Sanal Makine (EVM) ekosistemini etkileyebileceği konusunda uyardı.
Nasıl olmuş olabilir?
Cyvers CEO’su Deddy Lavid, baş teknoloji sorumlusu Meir Dolev ve blockchain analisti Hakal Ünal, saldırının nasıl gerçekleşmiş olabileceğine ışık tuttu.
Onlara göre, saldırgan muhtemelen kullanıcının cüzdanında kafa karıştırıcı işlem verilerini görüntülemek için kötü amaçlı kod kullanmış ve bu da kullanıcının istemediği işlemleri onaylamasına yol açmıştır.
Dolev, geliştiricilerin Web3 uygulamaları oluşturduğunda, uygulamalarının kullanıcıların cüzdanlarına bağlanmasını sağlamak için açık kaynaklı “bağlantı kitleri” kullandıklarını belirtti. Bu kitler, birden fazla uygulamaya yüklenebilen hazır kod parçalarıdır ve kod yazmaya zaman harcamaya gerek kalmadan bağlantı sürecini yönetmelerine olanak tanır. Ledger’ın Bağlantı Kiti bu görevi gerçekleştirmek için mevcut seçeneklerden biridir.
Bir geliştirici, uygulamasını ilk kez yazdığında genellikle bir düğüm paketi yöneticisi aracılığıyla bir bağlantı kiti yükler. Bir yapı oluşturup siteye yükledikten sonra, uygulamaları, kodunun bir parçası olarak bağlantı kitini içerecek ve bu, kullanıcı siteyi her ziyaret ettiğinde kullanıcının tarayıcısına indirilecektir.
Cyvers ekibine göre Ledger Connect Kit’e eklenen kötü amaçlı kod, saldırganın kullanıcının cüzdanına gönderilen işlemleri değiştirmesine olanak tanıyor olabilir. Örneğin, bir uygulamayı kullanma sürecinin bir parçası olarak, kullanıcının sıklıkla token sözleşmelerine onay vermesi gerekir, bu da uygulamanın kullanıcının cüzdanından token harcamasına izin verir.
Kötü amaçlı kod, kullanıcının cüzdanının, uygulamanın adresi yerine saldırganın adresinin listelendiği bir token onayı onay isteği görüntülemesine neden olmuş olabilir. Veya yorumlanması zor kodlardan oluşan bir cüzdan onayının görünmesine ve kullanıcının neyi kabul ettiğini anlamadan kafası karışmış bir şekilde “onayla” tuşuna basmasına neden olmuş olabilir.
Blockchain verileri, saldırının kurbanlarının kötü niyetli sözleşmeye çok büyük token onayları verdiğini gösteriyor. Örneğin, saldırgan tek bir işlemde ”0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7” Ethereum adresinden 10.000 dolardan fazla para çekti. Bu işlemin günlüğü, kullanıcının çok büyük miktarda USD Coin’i onayladığını gösteriyor.
Cyvers ekibi, bu onayın muhtemelen kötü amaçlı kod nedeniyle kullanıcı tarafından yanlışlıkla gerçekleştirildiğini söyledi. Cüzdanların kullanıcılara neyi kabul ettikleri konusunda her zaman net bilgi vermemesi nedeniyle bu tür saldırılardan kaçınmanın son derece zor olduğu konusunda uyardılar. Yardımcı olabilecek bir güvenlik uygulaması, bir uygulamayı kullanırken açılan her işlem onay mesajını dikkatle değerlendirmektir. Ancak işlemin kolayca okunamayan veya kafa karıştırıcı bir kodla görüntülenmesi durumunda bu durum işe yaramayabilir.
Cyvers, platformunun işletmelerin sözleşme adreslerini kontrol etmesine ve bu adreslerin güvenlik olaylarına karışıp karışmadığını belirlemesine olanak tanıdığını iddia etti. Örneğin bu saldırıda kullanılan akıllı sözleşmeleri oluşturan hesabın 180 güvenlik olayına karıştığı Cyvers tarafından tespit edildi.
Ekip gelecekte Web3 araçlarının bu gibi saldırıların önceden tespit edilip engellenmesine olanak tanıyacağını ancak sektörün bu sorunu çözmede hâlâ “alması gereken uzun bir yol” olduğunu söyledi.
Daha Fazla:
‘Konuya dair detaylı bilgiye buradan ulaşabilirsiniz’
‘Benzer içeriklerimize dair yazılarımıza buradan ulaşabilirsiniz’