Bir kullanıcıyı kendisine 68 milyon dolar değerinde Wrapped Bitcoin (WBTC) göndermesi için kandırdığı iddia edilen saldırgan, açık bir iyi niyet gösterisiyle mağdura 153.000 dolar değerinde Ethereum gönderdi. Aynı işlemde saldırgan, pazarlık yapmayı kabul eden ve mağdurdan kendisiyle iletişime geçilebilecek bir Telegram kullanıcı adı isteyen bir mesaj gönderdi. Geri gönderilen miktar, çalındığı iddia edilen toplam fonun yalnızca %0,225’ini temsil ediyor.
Saldırgandan Dikkat Çeken Adım
Blockchain verileri 5 Mayıs’ta hesabı 8fD5 ile biten mağdurun, dA6D ile biten bir hesaba üç mesaj gönderdiğini gösteriyor. Mesajın alıcısı, Etherscan’deki FakePhishing327990 etiketli saldırı hesabından birkaç ara hesap aracılığıyla para almıştı. Bu, dA6D’nin muhtemelen saldırgan tarafından kontrol edildiği anlamına geliyor.
Mesajlar, mağdurun saldırgana fonun %10’unu ödül olarak vermeye istekli olduğunu ve geri kalan yüzde 90’ı iade etmesi halinde dava açmaktan kaçınacağını ima ediyordu. Mağdur konuya yönelik şunları söyledi:
“İkimiz de bu fonları temizlemenin bir yolu olmadığını biliyoruz. Takip edileceksiniz. Ayrıca ikimiz de iyi uykular ifadesinin sizin ahlaki ve etik niteliklerinizle ilgili olmadığını anlıyoruz. Yine de resmi olarak %10’luk hakkınızı yönetiyoruz. %90’ını geri gönderin.”
9 Mayıs’da 72F1 ile biten başka bir hesap mağdura 51 Ethereum göndererek yanıt verdi. 72F1 ayrıca çeşitli ara hesaplar aracılığıyla FakePhishing327990’dan da para almıştı; bu da saldırganın kontrolünde olduğunu gösteriyor.
Saldırı Detayları Dikkat Çekiyor
Müzakere, saldırganın mağduru yanlışlıkla hesabına 1.155 Wrapped Bitcoin (WBTC) göndermesi için kandırdığı ve bunu bir adres zehirlenmesi işlemi yoluyla yaptığı iddiasının ardından gerçekleşti. Blockchain verileri 3 Mayıs’da saldırganın mağdurun hesabından saldırganın hesabına 0,05 token aktarmak için akıllı bir sözleşme kullandığını gösteriyor. Aktarılan token’ın Etherscan üzerinde herhangi bir adı yoktu ve yalnızca ERC-20 olarak anılıyordu.
Normal şartlarda bir saldırgan, başka bir kullanıcının izni olmadan token’ı aktaramaz. Ancak bu durumda token kullanıcının izni olmadan bir hesaptan aktarılmasına izin veren özel bir tasarıma sahipti.
Aynı gün mağdur görünüşe göre yanlışlıkla bu adrese 1.155 WBTC gönderdi. Adres, mağdurun merkezi bir borsaya para yatırmak için veya başka bir nedenle kullandığı adrese benzer görünebilir. Ayrıca mağdur geçmişte bu adrese 0,05 token gönderdiğini görmüş ve bu nedenle güvenli olduğunu varsaymış olabilir. Ancak 0,05 token’ın saldırgan tarafından gönderildiği ve yalnızca mağdurdan geldiği anlaşıldı.
