Blok Zinciri dünyasının yeni tehditleri: akıllı sözleşmeler dolandırıcılık aracı haline geldiğinde
Kripto para ve blok zinciri teknolojisi finansal yapıyı yeniden şekillendiriyor, ancak bu devrim yeni güvenlik zorluklarını da beraberinde getiriyor. Dolandırıcılar artık yalnızca teknik açıkları kullanmakla sınırlı kalmıyor, aynı zamanda blok zinciri akıllı sözleşme protokollerini saldırı aracı haline getiriyorlar. İnce bir şekilde tasarlanmış sosyal mühendislik tuzaklarıyla, blok zincirinin şeffaflığı ve geri alınamazlığından yararlanarak, kullanıcıların güvenini varlık hırsızlığına dönüştürüyorlar. Sahte akıllı sözleşmelerden çapraz zincir işlemlerini manipüle etmeye kadar, bu saldırılar yalnızca gizli ve zor tespit edilen değil, aynı zamanda "yasal" görünümü nedeniyle daha da yanıltıcıdır. Bu makale örnekler aracılığıyla, dolandırıcıların protokolleri nasıl saldırı araçlarına dönüştürdüğünü ortaya koyacak ve teknik korumadan davranış önlemine kadar kapsamlı çözümler sunarak merkeziyetsiz dünyada güvenli bir şekilde ilerlemenize yardımcı olacaktır.
Bir, yasal sözleşmeler nasıl dolandırıcılık aracına dönüşür?
Blok Zinciri protokolü tasarımının asıl amacı güvenliği ve güveni sağlamaktır, ancak dolandırıcılar bu özellikleri kullanarak, kullanıcıların dikkatsizliği ile bir araya getirerek çeşitli gizli saldırı yöntemleri oluşturmuşlardır. Aşağıda bazı yöntemler ve teknik detayları açıklanmaktadır:
(1) Kötü niyetli akıllı sözleşmeler yetkilendirmesi
Teknik Prensip:
Ethereum gibi Blok Zinciri üzerinde, ERC-20 token standartı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü şahıslara (genellikle akıllı sözleşmeler) cüzdanlarından belirli miktarda token çekme yetkisi vermesine olanak tanır. Bu özellik, kullanıcıların işlemleri, staking veya likidite madenciliği gerçekleştirmesi için akıllı sözleşmelere yetki vermesi gerektiğinden DeFi protokollerinde yaygın olarak kullanılmaktadır. Ancak, dolandırıcılar bu mekanizmayı kötü niyetli sözleşmeler tasarlamak için kullanmaktadır.
Çalışma Şekli:
Dolandırıcılar, genellikle bir kimlik avı web sitesi veya sosyal medya aracılığıyla tanıtılan, yasal bir projeye benzer bir DApp oluşturur. Kullanıcı cüzdanını bağlar ve "Approve" butonuna tıklamaya ikna edilir; bu, görünüşte belirli bir miktar token yetkilendirmesi yaparken, aslında sınırsız bir limit (uint256.max değeri) olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi, "TransferFrom" fonksiyonunu çağırma yetkisini alır ve kullanıcı cüzdanından tüm ilgili tokenları çekebilir.
Gerçek Örnek:
2023'ün başında, "Uniswap V3 güncellemesi" olarak kılık değiştiren bir phishing sitesi, yüzlerce kullanıcının milyonlarca dolar USDT ve ETH kaybetmesine neden oldu. Zincir üzerindeki veriler, bu işlemlerin tamamen ERC-20 standardına uygun olduğunu gösteriyor; mağdurlar, yetkilendirme gönüllü olarak imzalandığı için hukuki yollarla geri alamıyorlar.
(2) imza phishing
Teknik İlkeler:
Blok Zinciri işlemleri, kullanıcıların işlem geçerliliğini kanıtlamak için özel anahtarlarıyla imza oluşturmasını gerektirir. Cüzdan genellikle imza talebini görüntüler, kullanıcı onayladıktan sonra işlem ağa yayılır. Dolandırıcılar bu süreci kullanarak imza taleplerini sahteleyip varlıkları çalmaktadır.
Çalışma şekli:
Kullanıcı, "NFT airdrop'unuzu almak için lütfen cüzdanınızı doğrulayın" gibi resmi bir bildiriymiş gibi görünen bir e-posta veya mesaj alır. Bağlantıya tıkladıktan sonra, kullanıcı kötü niyetli bir web sitesine yönlendirilir ve cüzdanını bağlaması ve "doğrulama işlemi" için bir işlem imzalaması istenir. Bu işlem aslında "Transfer" fonksiyonunu çağırıyor olabilir ve cüzdandaki ETH veya token'ları dolandırıcı adresine doğrudan aktarabilir; ya da dolandırıcının kullanıcının NFT koleksiyonunu kontrol etmesine izin veren bir "SetApprovalForAll" işlemi olabilir.
Gerçek Vaka:
Bir tanınmış NFT projesinin topluluğu imza phishing saldırısına uğradı, birçok kullanıcı sahte "airdropped alım" işlemlerini imzaladıkları için milyonlarca dolar değerinde NFT kaybetti. Saldırganlar EIP-712 imza standardını kullanarak güvenli görünen talepleri sahte olarak oluşturdu.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip:
Blok Zinciri'nin açıklığı, herhangi birinin herhangi bir adrese token göndermesine izin verir, alıcının aktif olarak talep etmesi gerekmez. Dolandırıcılar bunu kullanarak, birden fazla cüzdan adresine az miktarda kripto para gönderir, cüzdanın faaliyetlerini takip eder ve cüzdanın sahibi olan kişi veya şirketle ilişkilendirir.
Çalışma Yöntemi:
Saldırganlar, farklı adreslere az miktarda kripto para gönderir ve ardından hangilerinin aynı cüzdana ait olduğunu bulmaya çalışır. Bu "toz" genellikle kullanıcı cüzdanlarına airdrop şeklinde dağıtılır ve çekici isimler veya meta veriler içerebilir. Kullanıcılar, bu tokenleri nakde çevirmek isteyebilir ve böylece saldırganların sunduğu web sitelerine erişim sağlar. Saldırganlar daha sonra token ile birlikte gelen akıllı sözleşmeler aracılığıyla kullanıcı cüzdanına erişebilir veya kullanıcıların sonraki işlemlerini analiz ederek aktif cüzdan adreslerini hedef alıp daha hassas dolandırıcılık yapabilir.
Gerçek Örnek:
Geçmişte, Ethereum ağında ortaya çıkan "GAS token" toz saldırısı binlerce cüzdanı etkiledi. Bazı kullanıcılar merak nedeniyle etkileşime girerek ETH ve ERC-20 token'ları kaybetti.
İkincisi, bu dolandırıcılıkların fark edilmesi neden zor?
Bu dolandırıcılıkların başarılı olmasının büyük ölçüde nedeni, Blok Zinciri'nin meşru mekanizmalarında gizlenmiş olmaları ve sıradan kullanıcıların kötü niyetli doğasını ayırt etmede zorluk çekmeleridir. İşte birkaç ana sebep:
Teknik karmaşıklık: Akıllı sözleşmelerin kodları ve imza talepleri, teknik olmayan kullanıcılar için anlaşılması zor olabilir. Örneğin, bir "Approve" talebi "0x095ea7b3..." gibi onaltılık veriler olarak görünebilir ve kullanıcılar bunun anlamını sezgisel olarak değerlendiremez.
Zincir üzerindeki meşruiyet: Tüm işlemler Blok Zinciri üzerinde kaydedilir, şeffaf gibi görünür, ancak kurbanlar genellikle yetki verme veya imzalama sonuçlarını sonradan fark ederler ve bu noktada varlıklar geri alınamaz.
Sosyal mühendislik: Dolandırıcılar insan doğasının zayıf noktalarını kullanır, örneğin açgözlülük ("1000 dolar değerinde token ücretsiz al"), korku ("Hesapta anormallik var, doğrulama gerekli") veya güven (müşteri hizmetleri gibi davranarak).
Kandırma ustalığı: Phishing siteleri, resmi alan adlarına benzer URL'ler kullanabilir ve hatta güvenilirliği artırmak için HTTPS sertifikalarıyla destekleyebilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşın bir arada bulunduğu dolandırıcılıklara karşı varlıkları korumak çok katmanlı bir strateji gerektirir. Aşağıda detaylı önlemler bulunmaktadır:
Yetki izinlerini kontrol et ve yönet
Cüzdanın yetkilendirme kayıtlarını kontrol etmek için blok zinciri tarayıcısının yetkilendirme kontrol aracını kullanın.
Gereksiz yetkilendirmeleri düzenli olarak iptal edin, özellikle bilinmeyen adreslere verilen sınırsız yetkilendirmeleri.
Her yetkilendirmeden önce, DApp'in güvenilir bir kaynaktan geldiğinden emin olun.
"Allowance" değerini kontrol edin, eğer "sonsuz" ise (örneğin 2^256-1), derhal iptal edilmelidir.
Bağlantıyı ve kaynağı doğrula
Resmi URL'yi manuel olarak girin, sosyal medya veya e-postalardaki bağlantılara tıklamaktan kaçının.
Web sitesinin doğru alan adı ve SSL sertifikası (yeşil kilit simgesi) kullandığından emin olun.
Yazım hatalarına veya fazladan karakterlere dikkat edin.
Şüpheli alan adı varyantları alındığında, hemen gerçekliğinden şüphelenin.
Soğuk cüzdan ve çoklu imza kullanımı
Çoğu varlığı donanım cüzdanında saklayın, yalnızca gerektiğinde ağı bağlayın.
Büyük varlıklar için, birden fazla anahtarın işlem onayını gerektirdiği çoklu imza araçları kullanarak, tek bir hata riskini azaltın.
Sıcak cüzdan kırılırsa bile, soğuk depolama varlıkları hala güvendedir.
İmza isteğini dikkatli bir şekilde işleyin
Her seferinde imza atarken, cüzdan penceresindeki işlem detaylarını dikkatlice okuyun.
"Veri" alanına dikkat edin, eğer bilinmeyen bir fonksiyon (örneğin "TransferFrom") içeriyorsa, imzalamayı reddedin.
İmza içeriğini çözmek için blok zinciri tarayıcısındaki "Girdi Verilerini Çöz" işlevini kullanın veya teknik uzmanla danışın.
Yüksek riskli işlemler için bağımsız cüzdan oluşturun, az miktarda varlık saklayın.
Toz saldırılarına karşı
Bilinmeyen bir token aldığınızda, etkileşime geçmeyin. Bunu "çöp" olarak işaretleyin veya gizleyin.
Blok Zinciri tarayıcı platformu aracılığıyla, token kaynağını doğrulayın, eğer toplu gönderimse, yüksek dikkat gösterin.
Cüzdan adresini halka açık hale getirmekten kaçının veya hassas işlemler için yeni bir adres kullanın.
Sonuç
Yukarıda belirtilen güvenlik önlemlerinin uygulanmasıyla, sıradan kullanıcılar yüksek düzeyde dolandırıcılık planlarının kurbanı olma riskini önemli ölçüde azaltabilirler, ancak gerçek güvenlik asla yalnızca teknik bir zafer değildir. Donanım cüzdanları fiziksel bir savunma hattı oluşturduğunda ve çoklu imzalar risk maruziyetini dağıttığında, kullanıcıların yetkilendirme mantığını anlama yetisi ve zincir üzerindeki davranışlara karşı dikkatli olmaları, saldırılara karşı son savunma hattını oluşturur. Her imza öncesi veri analizi, her yetkilendirme sonrası yetki incelemesi, bireyin dijital egemenliğine bir yemin niteliğindedir.
Gelecekte, teknoloji nasıl evrilirse evrilsin, en temel savunma hattı her zaman şurada yatmaktadır: güvenlik bilincini alışkanlık haline getirmek, güven ile doğrulama arasında kalıcı bir denge kurmak. Sonuçta, kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak zincir üzerinde kaydedilir ve değiştirilemez.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
6
Share
Comment
0/400
SmartContractRebel
· 12h ago
tam tersi bir pozisyon almak, yetkileri iptal ettim, hala benim coinimi çalmayı mı düşünüyorsun?
View OriginalReply0
LiquidityWizard
· 12h ago
teorik olarak konuşursak, bu "hacklerin" %99.7'si sadece kullanıcı hatası smh
Blok Zinciri protokolü dolandırıcılığın yeni aracı haline geldi. Şifreleme varlıklarınızı nasıl korursunuz?
Blok Zinciri dünyasının yeni tehditleri: akıllı sözleşmeler dolandırıcılık aracı haline geldiğinde
Kripto para ve blok zinciri teknolojisi finansal yapıyı yeniden şekillendiriyor, ancak bu devrim yeni güvenlik zorluklarını da beraberinde getiriyor. Dolandırıcılar artık yalnızca teknik açıkları kullanmakla sınırlı kalmıyor, aynı zamanda blok zinciri akıllı sözleşme protokollerini saldırı aracı haline getiriyorlar. İnce bir şekilde tasarlanmış sosyal mühendislik tuzaklarıyla, blok zincirinin şeffaflığı ve geri alınamazlığından yararlanarak, kullanıcıların güvenini varlık hırsızlığına dönüştürüyorlar. Sahte akıllı sözleşmelerden çapraz zincir işlemlerini manipüle etmeye kadar, bu saldırılar yalnızca gizli ve zor tespit edilen değil, aynı zamanda "yasal" görünümü nedeniyle daha da yanıltıcıdır. Bu makale örnekler aracılığıyla, dolandırıcıların protokolleri nasıl saldırı araçlarına dönüştürdüğünü ortaya koyacak ve teknik korumadan davranış önlemine kadar kapsamlı çözümler sunarak merkeziyetsiz dünyada güvenli bir şekilde ilerlemenize yardımcı olacaktır.
Bir, yasal sözleşmeler nasıl dolandırıcılık aracına dönüşür?
Blok Zinciri protokolü tasarımının asıl amacı güvenliği ve güveni sağlamaktır, ancak dolandırıcılar bu özellikleri kullanarak, kullanıcıların dikkatsizliği ile bir araya getirerek çeşitli gizli saldırı yöntemleri oluşturmuşlardır. Aşağıda bazı yöntemler ve teknik detayları açıklanmaktadır:
(1) Kötü niyetli akıllı sözleşmeler yetkilendirmesi
Teknik Prensip: Ethereum gibi Blok Zinciri üzerinde, ERC-20 token standartı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü şahıslara (genellikle akıllı sözleşmeler) cüzdanlarından belirli miktarda token çekme yetkisi vermesine olanak tanır. Bu özellik, kullanıcıların işlemleri, staking veya likidite madenciliği gerçekleştirmesi için akıllı sözleşmelere yetki vermesi gerektiğinden DeFi protokollerinde yaygın olarak kullanılmaktadır. Ancak, dolandırıcılar bu mekanizmayı kötü niyetli sözleşmeler tasarlamak için kullanmaktadır.
Çalışma Şekli: Dolandırıcılar, genellikle bir kimlik avı web sitesi veya sosyal medya aracılığıyla tanıtılan, yasal bir projeye benzer bir DApp oluşturur. Kullanıcı cüzdanını bağlar ve "Approve" butonuna tıklamaya ikna edilir; bu, görünüşte belirli bir miktar token yetkilendirmesi yaparken, aslında sınırsız bir limit (uint256.max değeri) olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi, "TransferFrom" fonksiyonunu çağırma yetkisini alır ve kullanıcı cüzdanından tüm ilgili tokenları çekebilir.
Gerçek Örnek: 2023'ün başında, "Uniswap V3 güncellemesi" olarak kılık değiştiren bir phishing sitesi, yüzlerce kullanıcının milyonlarca dolar USDT ve ETH kaybetmesine neden oldu. Zincir üzerindeki veriler, bu işlemlerin tamamen ERC-20 standardına uygun olduğunu gösteriyor; mağdurlar, yetkilendirme gönüllü olarak imzalandığı için hukuki yollarla geri alamıyorlar.
(2) imza phishing
Teknik İlkeler: Blok Zinciri işlemleri, kullanıcıların işlem geçerliliğini kanıtlamak için özel anahtarlarıyla imza oluşturmasını gerektirir. Cüzdan genellikle imza talebini görüntüler, kullanıcı onayladıktan sonra işlem ağa yayılır. Dolandırıcılar bu süreci kullanarak imza taleplerini sahteleyip varlıkları çalmaktadır.
Çalışma şekli: Kullanıcı, "NFT airdrop'unuzu almak için lütfen cüzdanınızı doğrulayın" gibi resmi bir bildiriymiş gibi görünen bir e-posta veya mesaj alır. Bağlantıya tıkladıktan sonra, kullanıcı kötü niyetli bir web sitesine yönlendirilir ve cüzdanını bağlaması ve "doğrulama işlemi" için bir işlem imzalaması istenir. Bu işlem aslında "Transfer" fonksiyonunu çağırıyor olabilir ve cüzdandaki ETH veya token'ları dolandırıcı adresine doğrudan aktarabilir; ya da dolandırıcının kullanıcının NFT koleksiyonunu kontrol etmesine izin veren bir "SetApprovalForAll" işlemi olabilir.
Gerçek Vaka: Bir tanınmış NFT projesinin topluluğu imza phishing saldırısına uğradı, birçok kullanıcı sahte "airdropped alım" işlemlerini imzaladıkları için milyonlarca dolar değerinde NFT kaybetti. Saldırganlar EIP-712 imza standardını kullanarak güvenli görünen talepleri sahte olarak oluşturdu.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip: Blok Zinciri'nin açıklığı, herhangi birinin herhangi bir adrese token göndermesine izin verir, alıcının aktif olarak talep etmesi gerekmez. Dolandırıcılar bunu kullanarak, birden fazla cüzdan adresine az miktarda kripto para gönderir, cüzdanın faaliyetlerini takip eder ve cüzdanın sahibi olan kişi veya şirketle ilişkilendirir.
Çalışma Yöntemi: Saldırganlar, farklı adreslere az miktarda kripto para gönderir ve ardından hangilerinin aynı cüzdana ait olduğunu bulmaya çalışır. Bu "toz" genellikle kullanıcı cüzdanlarına airdrop şeklinde dağıtılır ve çekici isimler veya meta veriler içerebilir. Kullanıcılar, bu tokenleri nakde çevirmek isteyebilir ve böylece saldırganların sunduğu web sitelerine erişim sağlar. Saldırganlar daha sonra token ile birlikte gelen akıllı sözleşmeler aracılığıyla kullanıcı cüzdanına erişebilir veya kullanıcıların sonraki işlemlerini analiz ederek aktif cüzdan adreslerini hedef alıp daha hassas dolandırıcılık yapabilir.
Gerçek Örnek: Geçmişte, Ethereum ağında ortaya çıkan "GAS token" toz saldırısı binlerce cüzdanı etkiledi. Bazı kullanıcılar merak nedeniyle etkileşime girerek ETH ve ERC-20 token'ları kaybetti.
İkincisi, bu dolandırıcılıkların fark edilmesi neden zor?
Bu dolandırıcılıkların başarılı olmasının büyük ölçüde nedeni, Blok Zinciri'nin meşru mekanizmalarında gizlenmiş olmaları ve sıradan kullanıcıların kötü niyetli doğasını ayırt etmede zorluk çekmeleridir. İşte birkaç ana sebep:
Teknik karmaşıklık: Akıllı sözleşmelerin kodları ve imza talepleri, teknik olmayan kullanıcılar için anlaşılması zor olabilir. Örneğin, bir "Approve" talebi "0x095ea7b3..." gibi onaltılık veriler olarak görünebilir ve kullanıcılar bunun anlamını sezgisel olarak değerlendiremez.
Zincir üzerindeki meşruiyet: Tüm işlemler Blok Zinciri üzerinde kaydedilir, şeffaf gibi görünür, ancak kurbanlar genellikle yetki verme veya imzalama sonuçlarını sonradan fark ederler ve bu noktada varlıklar geri alınamaz.
Sosyal mühendislik: Dolandırıcılar insan doğasının zayıf noktalarını kullanır, örneğin açgözlülük ("1000 dolar değerinde token ücretsiz al"), korku ("Hesapta anormallik var, doğrulama gerekli") veya güven (müşteri hizmetleri gibi davranarak).
Kandırma ustalığı: Phishing siteleri, resmi alan adlarına benzer URL'ler kullanabilir ve hatta güvenilirliği artırmak için HTTPS sertifikalarıyla destekleyebilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşın bir arada bulunduğu dolandırıcılıklara karşı varlıkları korumak çok katmanlı bir strateji gerektirir. Aşağıda detaylı önlemler bulunmaktadır:
Yetki izinlerini kontrol et ve yönet
Bağlantıyı ve kaynağı doğrula
Soğuk cüzdan ve çoklu imza kullanımı
İmza isteğini dikkatli bir şekilde işleyin
Toz saldırılarına karşı
Sonuç
Yukarıda belirtilen güvenlik önlemlerinin uygulanmasıyla, sıradan kullanıcılar yüksek düzeyde dolandırıcılık planlarının kurbanı olma riskini önemli ölçüde azaltabilirler, ancak gerçek güvenlik asla yalnızca teknik bir zafer değildir. Donanım cüzdanları fiziksel bir savunma hattı oluşturduğunda ve çoklu imzalar risk maruziyetini dağıttığında, kullanıcıların yetkilendirme mantığını anlama yetisi ve zincir üzerindeki davranışlara karşı dikkatli olmaları, saldırılara karşı son savunma hattını oluşturur. Her imza öncesi veri analizi, her yetkilendirme sonrası yetki incelemesi, bireyin dijital egemenliğine bir yemin niteliğindedir.
Gelecekte, teknoloji nasıl evrilirse evrilsin, en temel savunma hattı her zaman şurada yatmaktadır: güvenlik bilincini alışkanlık haline getirmek, güven ile doğrulama arasında kalıcı bir denge kurmak. Sonuçta, kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak zincir üzerinde kaydedilir ve değiştirilemez.