Microsoft, kripto para cüzdanlarını boşaltmayı amaçlayan dolandırıcılara karşı bir planı var gibi duruyor. Bu noktada ‘ice phising’ gibi olayların önüne geçmeyi amaçlıyor. Hatta bazı tavsiyeler sunmaya başladı. Ice Phishing, Microsoft’un tabiriyle bir kullanıcının onayının kandırılıp saldırgana devredilerek bir tıklama ya da kullanıcı arabirimi saldırısı olarak geçiyor.
BadgerDAO‘ya yapılan 120 milyon dolarlık son saldırı, kripto para web uygulamasının saldırganın kullanıcılar adına işlem yapmasına olanak tanımıştı. Bu da Ice Phishing‘i etkinleştirmek için kötü amaçlı enjekte edilmiş bir komut dosyasına dayanıyordu.
Microsoft güvenlik araştırmacısı durumu anlattı
Microsoft‘ta güvenlik araştırmacısı olan Christian Seifert bir blog yazısı paylaştı. Burada, Badger‘ın Cloudflare‘deki akıllı sözleşme ön uç altyapısının güvenliğinin ihlal edildiğini belirtti. Ek olarak, bir Cloudfare API anahtarının kontrolünü ele geçirdiğini söyledi. Bu da, Badger akıllı sözleşme ön ucuna kötü amaçlı bir komut dosyasının eklenmesine yol açtı.
Seifert, “Bu komut dosyası, kullanıcıların saldırganın hesabına ERC-20 onayları veren işlemleri imzalamasını istedi.” dedi. ERC-20, Ethereum blok zincirinde akıllı sözleşmeler oluşturma standardını ifade ediyor. ERC-20 belirteçleri, programlı işlemlere izin veren akıllı sözleşmeler için bir API uyguluyor. Bunun sahipleri belirteçleri aktarabiliyor. Yine de yetkiyi, sahibinin adına işlem yapacak herhangi bir akıllı sözleşmeye devredebiliyor.
BadgerDAO hırsızlığında, yaklaşık 200 kişi tokenlerinin kontrolünü akıllı sözleşme yerine dolandırıcıya teslim etti. Bunu yapmalarının ana sebebi kullanıcı arayüzünden kaynaklanıyordu. Çünkü yetkilendirilen hesabın saldırgan tarafından kontrol edildiği açıkça gösterilmiyordu.
Microsoft‘un kripto para odaklı saldırıların nasıl önüne geçilebileceği konusunda bir fikri var. Şirket, akıllı bir sözleşme algılama platformu Forta‘da bir araç oluşturdu. Bunu da açık kaynaklı hale getirdi. Yazılım, Ice Phishing‘in öncüsü şüpheli token onaylarını ve aktarımları arıyor.
Seifert, web3 kullanıcılarına kendilerini bu tarz saldırılardan korumaları için tavsiyeler verdi. Çoğunlukla, “Etkileşimde olduğunuz akıllı sözleşmeyi gözden geçirin.” tarzı uyarılardı bunlar. Buna ek olarak, tüm web3 ekosistemiyle ilgili gerçek bir soruna, tüketici korumasının olmamasına da ayrıca değindi.
Sizler Microsoft tarafından kripto para yatırımcılarının korunması hakkında neler düşünüyorsunuz? Fikirlerinizi SDN Forum‘da belirtmeyi unutmayın!
{{user}} {{datetime}}
{{text}}