$24M Kimlik Avı Hırsızlığı: Token Onaylarının Hacker'ların Altın Bileti Nasıl Olduğu

Eylül 2023'te $24 milyon kaybeden o dev Ethereum balinasını hatırlıyor musun? Oyun değiştirici bir durum—çalıntı fonları geçen hafta blok zincirinde belirdi ve hacker'ın eylem planı, basit bir şifre sızıntısından çok daha tehlikeli bir şeyi ortaya koyuyor.

İşte olanlar:

Kurban, meşru olduğunu düşünerek kötü niyetli bir sözleşmeyi onaylayarak oltaya düştü. O bir tıklama? Oyun bitti. Saldırgan, iki ayrı işlemde Rocket Pool'dan 9,579 stETH ve 4,851 rETH çekti. 21 Mart'ta, CertiK ekibi, hacker'ın 3,700 ETH (~$10M)'ı izlerini örtmek için Tornado Cash'e aktardığını fark etti. Saldırganın toplam kazancı 13,785 ETH ve 1.64M DAI'ye dönüştürüldü - zincir üzerinde klasik bir kara para aklama taktiği.

Gerçek Problem: Token Onayları Yeni Saldırı Vektörüdür

Sahtecilik saldırıları artık sadece sahtecilik değil. Scam Sniffer'a göre, “Limit Arttır” fonksiyonu suçlu - bu, bir kez izin verdiğinizde, hacker'ların token'larınızı sınırsız bir şekilde boşaltmasına olanak tanıyor. Sadece geçen ay, neredeyse $47 milyon, sahtecilik planlarından kayboldu ve bunun %78'i Ethereum'da gerçekleşti ve %86'sı ERC-20 token'larını içeriyordu.

Sonra Dolomite karmaşası var. 20 Mart'ta, güncel olmayan bir sözleşme exploit edilerek, önceden onay vermiş kullanıcılarından 1.8M $ çalındı. Aynı hafta, Layerswap tehlikeye atıldı—hackler, alan adı sağlayıcısı hızlı bir şekilde kapatmadan önce 50 kullanıcıdan $100K siphonladı. Layerswap geri ödemeler ve tazminat yapıyor, ama zarar gerçekti.

Bu Sizin İçin Ne Anlama Geliyor

Token onayları, bir yabancıya boş bir çek imzalamak gibidir. Bir kötü niyetli sözleşme. Bir dikkatsiz tıklama. Ve aniden tüm portföyünüz kaybolabilir. Ders? Eski onayları iptal edin. Sözleşme adreslerini iki kez kontrol edin. Asla sınırsız token onayı vermeyin.

Kripto topluluğu bu tehdidin farkına varıyor, ancak eğitim ve daha iyi güvenlik araçları bir an önce gelmeli.