Zincir üzerindeki bilgiler, “0x13e382” isimli bir altcoin balinasının 6 Eylül’de kimlik avı dolandırıcılarına 4.851 rETH (8,58 milyon dolar değerinde) ve 9.579 stETH (15,63 milyon dolar değerinde) olmak üzere 24,23 milyon dolar pahasında likit stake edilmiş Ethereum kaybettiğini gösteriyor. Web3 güvenlik firması Scam Sniffer, balinanın “increaseAllowance” süreçlerini imzalayarak farkında olmadan dolandırıcılara token onayı verdiğini ortaya çıkardı. Firma hırsızlığı muhtemelen “tek bir kurbandan çalınan en büyük miktar” olarak tanımladı. Çalınan fonlar başlangıçta 0x693b72 ve 0x4c10a4 olmak üzere iki adrese ulaştı. Fakat, dolandırıcılar bu varlıkların bir kısmını Fixed Float borsasına taşırken, geri kalanı öbür üç farklı adreste bulunuyor. İşte detaylar…
Altcoin balinasının cüzdanı sıfıra düştü
7 Eylül 2023 tarihinde, 0x13e3 adresli bir balina cüzdanı siber atağa uğrayarak yaklaşık 24,23 milyon USD kıymetinde stETH ve rETH tokenlarının çalınmasına neden oldu. Birinci incelemeler, olayın cüzdan sahibinin bir kimlik avı irtibatına tıklamasıyla kolaylaştırılmış olabileceğini düşündürmektedir. Scam Sniffer’ın raporlarına nazaran, 0x13e3 adresli cüzdan, sadece iki süreçte 4.850 rETH (yaklaşık 8,5 milyon USD) ve 9.579 stETH (yaklaşık 15,6 milyon USD) meblağında yetkisiz para çekme süreci yaşadı. Bu tokenlar süratli bir halde saldırganın 0x693b adresindeki cüzdanına aktarıldı.
Daha sonra 0x693b adresindeki cüzdan, çalınan stETH ve rETH’i ETH’ye dönüştürerek üç farklı cüzdan adresine aktardı. rETH ve stETH’in likit stake ekosisteminde sırasıyla Rocket Pool ve Lido ile bağlı iki değerli token olduğunu belirtmek çok değerlidir. DeBank portföyü üzerinden yapılan daha ayrıntılı incelemeler, LIDO protokolünde ele geçirilen cüzdandaki stETH varlıklarının neredeyse sıfıra düştüğünü ortaya koymuştur. İhlalin nedenini belirlemek için müfettişler balina cüzdanını içeren iki süreci inceledi ve 0x4c10 cüzdan adresinin dahil olduğunu tespit etti. Bu cüzdan daha evvel Etherscan tarafından “Fake_Phishing” olarak işaretlenmişti.
Transfer nasıl gerçekleşti?
24 milyon dolar pahasında rETH ve stETH’in müsaadesiz transferinden evvel, 0x13e3 adresindeki balina cüzdanı “increaseAllowance” metodu aracılığıyla müsaade vermişti. Bu aksiyon kazara dolandırıcıya bu tokenlar için para çekme limitlerini artırma yetkisi sağladı. Scam Sniffer yalnızca 0x4c10 cüzdanını bu olayla ilişkilendirmekle kalmadı, birebir vakitte geçmişte birden fazla kripto para dolandırıcılığı web sitesiyle de kontaklar buldu. Kıymetlendirme aracı, 0x4c10 cüzdanını 100 “Şiddetli” puanla derecelendirerek berbat niyetli faaliyet mümkünlüğünün yüksek olduğunu göstermiştir. Ek olarak, Scam Sniffer bu cüzdanla bağlı kimlik avı URL’leri tespit etti.
Geriye dönüp bakıldığında, balina cüzdanı sahibinin kimlik avı ilişkisi içeren bir kripto para ünitesi web sitesine erişmiş olması mümkündür. Süreç imzalama süreci sırasında, bilmeden dolandırıcının kurbanı olmuş olabilirler ve bu da kıymetli ölçüde stETH ve rETH kaybına neden olmuştur. Bununla birlikte, kurbanın cüzdanında hala 16,3 milyon USD meblağında bir bakiye bulunmaktadır.