Zincir üzerindeki bilgiler, “0x13e382” isimli bir altcoin balinasının 6 Eylül’de kimlik avı dolandırıcılarına 4.851 rETH (8,58 milyon dolar değerinde) ve 9.579 stETH (15,63 milyon dolar değerinde) olmak üzere 24,23 milyon dolar pahasında likit stake edilmiş Ethereum kaybettiğini gösteriyor. Web3 güvenlik firması Scam Sniffer, balinanın “increaseAllowance” süreçlerini imzalayarak farkında olmadan dolandırıcılara token onayı verdiğini ortaya çıkardı. Firma hırsızlığı muhtemelen “tek bir kurbandan çalınan en büyük miktar” olarak tanımladı. Çalınan fonlar başlangıçta 0x693b72 ve 0x4c10a4 olmak üzere iki adrese ulaştı. Lakin, dolandırıcılar bu varlıkların bir kısmını Fixed Float borsasına taşırken, geri kalanı öbür üç farklı adreste bulunuyor. İşte detaylar…
Altcoin balinasının cüzdanı sıfıra düştü
7 Eylül 2023 tarihinde, 0x13e3 adresli bir balina cüzdanı siber taarruza uğrayarak yaklaşık 24,23 milyon USD bedelinde stETH ve rETH tokenlarının çalınmasına neden oldu. Birinci incelemeler, olayın cüzdan sahibinin bir kimlik avı irtibatına tıklamasıyla kolaylaştırılmış olabileceğini düşündürmektedir. Scam Sniffer’ın raporlarına nazaran, 0x13e3 adresli cüzdan, sırf iki süreçte 4.850 rETH (yaklaşık 8,5 milyon USD) ve 9.579 stETH (yaklaşık 15,6 milyon USD) fiyatında yetkisiz para çekme süreci yaşadı. Bu tokenlar süratli bir formda saldırganın 0x693b adresindeki cüzdanına aktarıldı.
Daha sonra 0x693b adresindeki cüzdan, çalınan stETH ve rETH’i ETH’ye dönüştürerek üç farklı cüzdan adresine aktardı. rETH ve stETH’in likit stake ekosisteminde sırasıyla Rocket Pool ve Lido ile alakalı iki kıymetli token olduğunu belirtmek çok kıymetlidir. DeBank portföyü üzerinden yapılan daha ayrıntılı incelemeler, LIDO protokolünde ele geçirilen cüzdandaki stETH varlıklarının neredeyse sıfıra düştüğünü ortaya koymuştur. İhlalin nedenini belirlemek için müfettişler balina cüzdanını içeren iki süreci inceledi ve 0x4c10 cüzdan adresinin dahil olduğunu tespit etti. Bu cüzdan daha evvel Etherscan tarafından “Fake_Phishing” olarak işaretlenmişti.
Transfer nasıl gerçekleşti?
24 milyon dolar bedelinde rETH ve stETH’in müsaadesiz transferinden evvel, 0x13e3 adresindeki balina cüzdanı “increaseAllowance” usulü aracılığıyla müsaade vermişti. Bu aksiyon kazara dolandırıcıya bu tokenlar için para çekme limitlerini artırma yetkisi sağladı. Scam Sniffer yalnızca 0x4c10 cüzdanını bu olayla ilişkilendirmekle kalmadı, birebir vakitte geçmişte birden fazla kripto para dolandırıcılığı web sitesiyle de temaslar buldu. Kıymetlendirme aracı, 0x4c10 cüzdanını 100 “Şiddetli” puanla derecelendirerek makûs niyetli faaliyet mümkünlüğünün yüksek olduğunu göstermiştir. Ek olarak, Scam Sniffer bu cüzdanla alakalı kimlik avı URL’leri tespit etti.
Geriye dönüp bakıldığında, balina cüzdanı sahibinin kimlik avı irtibatı içeren bir kripto para ünitesi web sitesine erişmiş olması mümkündür. Süreç imzalama süreci sırasında, bilmeden dolandırıcının kurbanı olmuş olabilirler ve bu da kıymetli ölçüde stETH ve rETH kaybına neden olmuştur. Bununla birlikte, kurbanın cüzdanında hala 16,3 milyon USD fiyatında bir bakiye bulunmaktadır.