Blok Zinciri dolandırıcılığında yeni trend: protokolün kendisi saldırı silahı haline geliyor
Kripto para birimleri ve blok zinciri teknolojisi, finansal özgürlüğün kavramını yeniden şekillendiriyor, ancak aynı zamanda yeni güvenlik tehditleri de getiriyor. Geleneksel teknik açıklarına dayanan saldırılardan farklı olarak, yeni nesil dolandırıcılar, blok zinciri akıllı sözleşme protokollerini saldırı araçlarına ustaca dönüştürüyorlar. Tasarlanmış sosyal mühendislik tuzakları aracılığıyla, blok zincirinin şeffaflığını ve geri alınamazlığını kullanarak, kullanıcıların güvenini varlık çalma aracı haline getiriyorlar. Sahte akıllı sözleşmelerden, çapraz zincir işlemleri manipüle etmeye kadar, bu saldırılar sadece gizli olmakla kalmıyor, aynı zamanda "yasal" görünümü nedeniyle son derece aldatıcı bir nitelik taşıyor. Bu makale, dolandırıcıların nasıl protokolleri saldırı araçlarına dönüştürdüğünü ortaya koymak için örnek analizler sunacak ve kullanıcıların merkeziyetsiz dünyada güvenli bir şekilde ilerlemelerine yardımcı olmak için kapsamlı koruma çözümleri sağlayacaktır.
Bir, Yasal Protokoller Nasıl Dolandırıcılık Araçlarına Dönüşür?
Blok Zinciri protokolü aslında güvenliği ve güveni sağlamak amacıyla tasarlanmıştır, ancak dolandırıcılar bu özellikleri, kullanıcıların dikkatsizliğiyle birleştirerek çeşitli gizli saldırı yöntemleri geliştirmişlerdir. Aşağıda birkaç tipik yöntem ve teknik detayları bulunmaktadır:
(1) Kötü Niyetli Akıllı Sözleşme Yetkilendirmesi
Teknik Prensip:
Ethereum gibi blok zincirlerinde, ERC-20 token standardı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü şahıslara cüzdanlarından belirli miktarda token çekme yetkisi vermesine olanak tanır. Bu özellik, DeFi protokollerinde yaygın olarak kullanılmakta, ancak dolandırıcılar tarafından kötü niyetli sözleşmeler tasarlamak için de istismar edilmektedir.
Çalışma Şekli:
Dolandırıcılar, yasal projelere benzeyen DApp'ler oluşturuyor, kullanıcıları cüzdanlarını bağlamaya ve "Onayla" butonuna tıklamaya yönlendiriyor. Görünüşte az miktarda token yetkilendiriliyor, fakat aslında sınırsız bir limit olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi yetki alıyor ve kullanıcı cüzdanından her an tüm ilgili tokenleri çekebilir.
Örnek:
2023 yılının başında, "bir DEX güncellemesi" olarak kamufle edilmiş bir kimlik avı sitesi yüzlerce kullanıcının milyonlarca dolar değerinde USDT ve ETH kaybetmesine neden oldu. Bu işlemler tamamen ERC-20 standardına uygundu, mağdurların yasal yollarla geri alması zordu.
(2) İmza Phishing
Teknik prensip:
Blok zinciri işlemleri, kullanıcıların özel anahtar aracılığıyla imza oluşturarak işlemin geçerliliğini kanıtlamasını gerektirir. Cüzdan genellikle imza talebi gönderir, kullanıcı onayladıktan sonra işlem ağa iletilir. Dolandırıcılar bu süreci kullanarak sahte imza talepleriyle varlıkları çalmaktadır.
Çalışma şekli:
Kullanıcılar, "NFT airdrop'u alınacak, lütfen cüzdanı doğrulayın" gibi resmi bir bildirim gibi görünen mesajlar alır. Bağlantıya tıkladıklarında kötü niyetli bir web sitesine yönlendirilirler ve cüzdanı bağlamaları ve "işlemi doğrulamalarını" isterler. Bu işlem, aslında varlıkların doğrudan transferi veya kullanıcının NFT koleksiyonunu kontrol etme yetkisi verme olabilir.
Örnek:
Bir tanınmış NFT projesinin topluluğu, imza phishing saldırısına maruz kaldı; birçok kullanıcı sahte "havale alma" işlemini imzalayarak milyonlarca dolar değerinde NFT kaybetti. Saldırganlar, EIP-712 imza standardını kullanarak güvenli görünen talepler üretti.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip:
Blok zincirinin açıcılığı, herhangi bir adrese token göndermeye izin verir, alıcının talep etmemesi durumunda bile. Dolandırıcılar bu durumu, birden fazla cüzdana küçük miktarlarda kripto para göndererek, cüzdan aktivitelerini takip edip sahipleriyle ilişkilendirerek kullanıyor.
Çalışma Şekli:
Saldırganlar, kullanıcının cüzdanına "toz" şeklinde airdrop yaparak, bu tokenlerin cazip isimler veya meta veriler içermesini sağlıyor. Kullanıcılar ilgili web sitelerini ziyaret ederek detayları kontrol ettiklerinde, saldırganlar sözleşme adresi üzerinden kullanıcı cüzdanına erişebiliyor. Daha gizli bir şekilde, kullanıcıların sonraki işlemlerini analiz ederek aktif cüzdan adreslerini tespit ediyor ve hedefli dolandırıcılık gerçekleştirebiliyorlar.
Örnek:
Ethereum ağı üzerinde "GAS token" toz saldırısı meydana geldi, binlerce cüzdanı etkiledi. Bazı kullanıcılar merakla etkileşimde bulunarak ETH ve ERC-20 token'ları kaybetti.
İki, bu dolandırıcılıkların neden fark edilmesi zor?
Bu tür dolandırıcılıkların başarılı olmasının büyük bir kısmı, Blok Zinciri'nin meşru mekanizmaları içinde gizlenmiş olmalarından kaynaklanıyor ve sıradan kullanıcıların kötü niyetli doğasını ayırt etmesi zor. Ana nedenler şunlardır:
Teknik karmaşıklık: Akıllı sözleşme kodları ve imza talepleri teknik olmayan kullanıcılar için anlaşılması güçtür. Örneğin, "Approve" talebi anlaşılması zor onaltılık veriler olarak görünebilir.
Zincir üzerindeki yasallık: Tüm işlemler Blok Zinciri üzerinde kaydedilir, görünüşte şeffafdır, ancak kurbanlar genellikle yetki verme veya imza sonuçlarını sonradan fark eder.
Sosyal Mühendislik: Dolandırıcılar, insan doğasının zayıf noktalarını, örneğin açgözlülük, korku veya güven gibi, ince bir şekilde tasarlanmış tuzaklar kullanarak istismar eder.
Kandırma Sanatı: Phishing siteleri, resmi sitelere son derece benzer alan adları kullanabilir ve güvenilirliklerini artırmak için HTTPS sertifikası bile kullanabilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşların bir arada bulunduğu dolandırıcılıklara karşı varlıkları korumak için çok katmanlı stratejilere ihtiyaç vardır:
Yetki izinlerini kontrol et ve yönet
Cüzdan yetkilendirme kayıtlarını düzenli olarak incelemek için blok zinciri tarayıcısının yetkilendirme kontrol aracını kullanın.
Gereksiz yetkileri geri alın, özellikle bilinmeyen adreslere verilen sınırsız yetkileri.
Her yetkilendirmeden önce, DApp'in güvenilir bir kaynaktan geldiğinden emin olun.
"Allowance" değerini kontrol edin, eğer "sonsuz" ise derhal iptal edilmelidir.
Bağlantıyı ve kaynağı doğrula
Resmi URL'yi manuel olarak girin, sosyal medya veya e-postalardaki bağlantılara tıklamaktan kaçının.
Web sitesinin doğru alan adını ve SSL sertifikasını kullandığından emin olun.
Hatalı yazım veya fazla karakter içeren alan adlarına dikkat edin.
Soğuk cüzdan ve çoklu imza kullanma
Çoğu varlığı donanım cüzdanında saklayın, yalnızca gerektiğinde ağa bağlanın.
Büyük varlıklar için, birden fazla anahtarın işlem onaylamasını gerektiren çoklu imza araçları kullanın.
İmza talebini dikkatlice işleyin
Her imza atışında, işlem ayrıntılarını dikkatlice okuyun.
İmza içeriğini yorumlamak için blok zinciri tarayıcısının veri çözümleme işlevini kullanın.
Yüksek riskli işlemler için bağımsız cüzdan oluşturun, az miktarda varlık saklayın.
Toz saldırısına karşı
Bilinmeyen tokenler aldıktan sonra, etkileşimde bulunmayın. Onları "çöplük" olarak işaretleyin veya gizleyin.
Token kaynağını blok zinciri tarayıcısı ile doğrulayın, toplu gönderimlere dikkat edin.
Cüzdan adresinizi ifşa etmekten kaçının veya hassas işlemler için yeni bir adres kullanın.
Sonuç
Yukarıdaki güvenlik önlemlerinin uygulanması, yüksek düzeyde dolandırıcılık planlarının kurbanı olma riskini önemli ölçüde azaltabilir, ancak gerçek güvenlik yalnızca teknolojiye bağlı değildir. Donanım cüzdanları fiziksel bir savunma hattı oluştururken ve çoklu imza riski dağıtırken, kullanıcıların yetkilendirme mantığını anlaması ve zincir üzerindeki davranışlara dikkat etmesi, saldırılara karşı son kaledir. Her imzadan önceki veri analizi ve her yetki sonrasında yapılan yetki incelemesi, kendi dijital egemenliğini savunmanın bir parçasıdır.
Gelecekte, teknolojik evrim nasıl olursa olsun, en temel savunma hattı her zaman şunlardadır: güvenlik bilincini alışkanlık haline getirmek, güven ve doğrulama arasında bir denge aramak. Kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak kaydedilir ve değiştirilemez. Dikkatli olmak, güvenli bir şekilde ilerlemek için gereklidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
3
Share
Comment
0/400
EthMaximalist
· 07-30 11:35
Büyük yol en basit haldedir, akıllı sözleşmeler kendileri insanları enayi yerine koyabilir.
View OriginalReply0
PrivacyMaximalist
· 07-30 11:33
Yine bir grup enayi insanları enayi yerine koymak için geldi.
View OriginalReply0
NotSatoshi
· 07-30 11:33
Yine bir kez daha Emiciler Tarafından Oyuna Getirilmek.
Blok Zinciri protokolü dolandırıcılık aracı haline gelmekte. Akıllı sözleşmeler saldırılarına nasıl karşı koyabiliriz?
Blok Zinciri dolandırıcılığında yeni trend: protokolün kendisi saldırı silahı haline geliyor
Kripto para birimleri ve blok zinciri teknolojisi, finansal özgürlüğün kavramını yeniden şekillendiriyor, ancak aynı zamanda yeni güvenlik tehditleri de getiriyor. Geleneksel teknik açıklarına dayanan saldırılardan farklı olarak, yeni nesil dolandırıcılar, blok zinciri akıllı sözleşme protokollerini saldırı araçlarına ustaca dönüştürüyorlar. Tasarlanmış sosyal mühendislik tuzakları aracılığıyla, blok zincirinin şeffaflığını ve geri alınamazlığını kullanarak, kullanıcıların güvenini varlık çalma aracı haline getiriyorlar. Sahte akıllı sözleşmelerden, çapraz zincir işlemleri manipüle etmeye kadar, bu saldırılar sadece gizli olmakla kalmıyor, aynı zamanda "yasal" görünümü nedeniyle son derece aldatıcı bir nitelik taşıyor. Bu makale, dolandırıcıların nasıl protokolleri saldırı araçlarına dönüştürdüğünü ortaya koymak için örnek analizler sunacak ve kullanıcıların merkeziyetsiz dünyada güvenli bir şekilde ilerlemelerine yardımcı olmak için kapsamlı koruma çözümleri sağlayacaktır.
Bir, Yasal Protokoller Nasıl Dolandırıcılık Araçlarına Dönüşür?
Blok Zinciri protokolü aslında güvenliği ve güveni sağlamak amacıyla tasarlanmıştır, ancak dolandırıcılar bu özellikleri, kullanıcıların dikkatsizliğiyle birleştirerek çeşitli gizli saldırı yöntemleri geliştirmişlerdir. Aşağıda birkaç tipik yöntem ve teknik detayları bulunmaktadır:
(1) Kötü Niyetli Akıllı Sözleşme Yetkilendirmesi
Teknik Prensip: Ethereum gibi blok zincirlerinde, ERC-20 token standardı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü şahıslara cüzdanlarından belirli miktarda token çekme yetkisi vermesine olanak tanır. Bu özellik, DeFi protokollerinde yaygın olarak kullanılmakta, ancak dolandırıcılar tarafından kötü niyetli sözleşmeler tasarlamak için de istismar edilmektedir.
Çalışma Şekli: Dolandırıcılar, yasal projelere benzeyen DApp'ler oluşturuyor, kullanıcıları cüzdanlarını bağlamaya ve "Onayla" butonuna tıklamaya yönlendiriyor. Görünüşte az miktarda token yetkilendiriliyor, fakat aslında sınırsız bir limit olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi yetki alıyor ve kullanıcı cüzdanından her an tüm ilgili tokenleri çekebilir.
Örnek: 2023 yılının başında, "bir DEX güncellemesi" olarak kamufle edilmiş bir kimlik avı sitesi yüzlerce kullanıcının milyonlarca dolar değerinde USDT ve ETH kaybetmesine neden oldu. Bu işlemler tamamen ERC-20 standardına uygundu, mağdurların yasal yollarla geri alması zordu.
(2) İmza Phishing
Teknik prensip: Blok zinciri işlemleri, kullanıcıların özel anahtar aracılığıyla imza oluşturarak işlemin geçerliliğini kanıtlamasını gerektirir. Cüzdan genellikle imza talebi gönderir, kullanıcı onayladıktan sonra işlem ağa iletilir. Dolandırıcılar bu süreci kullanarak sahte imza talepleriyle varlıkları çalmaktadır.
Çalışma şekli: Kullanıcılar, "NFT airdrop'u alınacak, lütfen cüzdanı doğrulayın" gibi resmi bir bildirim gibi görünen mesajlar alır. Bağlantıya tıkladıklarında kötü niyetli bir web sitesine yönlendirilirler ve cüzdanı bağlamaları ve "işlemi doğrulamalarını" isterler. Bu işlem, aslında varlıkların doğrudan transferi veya kullanıcının NFT koleksiyonunu kontrol etme yetkisi verme olabilir.
Örnek: Bir tanınmış NFT projesinin topluluğu, imza phishing saldırısına maruz kaldı; birçok kullanıcı sahte "havale alma" işlemini imzalayarak milyonlarca dolar değerinde NFT kaybetti. Saldırganlar, EIP-712 imza standardını kullanarak güvenli görünen talepler üretti.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip: Blok zincirinin açıcılığı, herhangi bir adrese token göndermeye izin verir, alıcının talep etmemesi durumunda bile. Dolandırıcılar bu durumu, birden fazla cüzdana küçük miktarlarda kripto para göndererek, cüzdan aktivitelerini takip edip sahipleriyle ilişkilendirerek kullanıyor.
Çalışma Şekli: Saldırganlar, kullanıcının cüzdanına "toz" şeklinde airdrop yaparak, bu tokenlerin cazip isimler veya meta veriler içermesini sağlıyor. Kullanıcılar ilgili web sitelerini ziyaret ederek detayları kontrol ettiklerinde, saldırganlar sözleşme adresi üzerinden kullanıcı cüzdanına erişebiliyor. Daha gizli bir şekilde, kullanıcıların sonraki işlemlerini analiz ederek aktif cüzdan adreslerini tespit ediyor ve hedefli dolandırıcılık gerçekleştirebiliyorlar.
Örnek: Ethereum ağı üzerinde "GAS token" toz saldırısı meydana geldi, binlerce cüzdanı etkiledi. Bazı kullanıcılar merakla etkileşimde bulunarak ETH ve ERC-20 token'ları kaybetti.
İki, bu dolandırıcılıkların neden fark edilmesi zor?
Bu tür dolandırıcılıkların başarılı olmasının büyük bir kısmı, Blok Zinciri'nin meşru mekanizmaları içinde gizlenmiş olmalarından kaynaklanıyor ve sıradan kullanıcıların kötü niyetli doğasını ayırt etmesi zor. Ana nedenler şunlardır:
Teknik karmaşıklık: Akıllı sözleşme kodları ve imza talepleri teknik olmayan kullanıcılar için anlaşılması güçtür. Örneğin, "Approve" talebi anlaşılması zor onaltılık veriler olarak görünebilir.
Zincir üzerindeki yasallık: Tüm işlemler Blok Zinciri üzerinde kaydedilir, görünüşte şeffafdır, ancak kurbanlar genellikle yetki verme veya imza sonuçlarını sonradan fark eder.
Sosyal Mühendislik: Dolandırıcılar, insan doğasının zayıf noktalarını, örneğin açgözlülük, korku veya güven gibi, ince bir şekilde tasarlanmış tuzaklar kullanarak istismar eder.
Kandırma Sanatı: Phishing siteleri, resmi sitelere son derece benzer alan adları kullanabilir ve güvenilirliklerini artırmak için HTTPS sertifikası bile kullanabilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşların bir arada bulunduğu dolandırıcılıklara karşı varlıkları korumak için çok katmanlı stratejilere ihtiyaç vardır:
Yetki izinlerini kontrol et ve yönet
Bağlantıyı ve kaynağı doğrula
Soğuk cüzdan ve çoklu imza kullanma
İmza talebini dikkatlice işleyin
Toz saldırısına karşı
Sonuç
Yukarıdaki güvenlik önlemlerinin uygulanması, yüksek düzeyde dolandırıcılık planlarının kurbanı olma riskini önemli ölçüde azaltabilir, ancak gerçek güvenlik yalnızca teknolojiye bağlı değildir. Donanım cüzdanları fiziksel bir savunma hattı oluştururken ve çoklu imza riski dağıtırken, kullanıcıların yetkilendirme mantığını anlaması ve zincir üzerindeki davranışlara dikkat etmesi, saldırılara karşı son kaledir. Her imzadan önceki veri analizi ve her yetki sonrasında yapılan yetki incelemesi, kendi dijital egemenliğini savunmanın bir parçasıdır.
Gelecekte, teknolojik evrim nasıl olursa olsun, en temel savunma hattı her zaman şunlardadır: güvenlik bilincini alışkanlık haline getirmek, güven ve doğrulama arasında bir denge aramak. Kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak kaydedilir ve değiştirilemez. Dikkatli olmak, güvenli bir şekilde ilerlemek için gereklidir.