Kripto para ekosistemi son yılların en büyük zincir üstü dolandırıcılıklarından biriyle sarsıldı. Bir kullanıcının neredeyse 50 milyon dolar değerindeki USDT’si, “adres zehirleme (address poisoning)” olarak bilinen bir saldırı yöntemiyle saniyeler içinde yanlış bir cüzdana gönderildi. Olay, yalnızca bireysel bir hatayı değil, aynı zamanda blokzincir mimarilerinin kullanıcı davranışlarıyla nasıl riskli biçimde kesişebildiğini de yeniden gündeme taşıdı.
Adres Zehirleme Saldırısı Nasıl Gerçekleşti?
Olayın merkezinde, yaklaşık iki yıldır aktif olan ve ağırlıklı olarak USDT transferleri için kullanılan bir cüzdan bulunuyor. Kullanıcı, Binance’ten çekilen fonların ardından cüzdanına yaklaşık 50 milyon dolarlık USDT aldı. Güvenli olduğunu düşündüğü bir yöntem izleyerek önce küçük bir test transferi gerçekleştirdi ve ardından birkaç dakika sonra ana transferi yaptı. Ancak bu ikinci işlemde, farkında olmadan yanlış adresi kullandı.
Dolandırıcı, bu noktaya gelmeden önce “adres zehirleme” saldırısını çoktan hazırlamıştı. Kurbanın daha önce sıkça işlem yaptığı bir adrese son derece benzeyen bir cüzdan oluşturuldu ve çok küçük miktarda USDT gönderilerek işlem geçmişine eklendi. Cüzdan arayüzünde adresler uzun ve karmaşık diziler halinde göründüğü için, kullanıcı işlem geçmişinden adresi kopyalarken gerçek alıcı yerine bu sahte adresi seçti. Sonuç olarak, tek bir tıklamayla yaklaşık 50 milyon dolar saldırganın cüzdanına aktarıldı.
UTXO Modeli Tartışması ve Charles Hoskinson’ın Yorumu
Cardano’nun kurucusu Charles Hoskinson, olayın ardından yaptığı değerlendirmede bu tür bir kaybın bazı blokzincir mimarilerinde yaşanmasının çok daha zor olduğunu savundu. Özellikle Ethereum ve EVM tabanlı ağların kullandığı hesap temelli modelin, adres zehirleme gibi dolandırıcılıkları yapısal olarak mümkün kıldığını belirtti. Bu modelde adresler kalıcı hesaplar olarak tutuluyor ve cüzdanlar, kullanıcıları sıkça geçmiş işlemlerden adres kopyalamaya yönlendiriyor. Dolandırıcılar da tam olarak bu alışkanlığı hedef alıyor.
Hoskinson’a göre Bitcoin ve Cardano gibi UTXO modelini kullanan ağlar bu açıdan daha dayanıklı. UTXO modelinde her işlem yeni çıktılar üretiyor ve eski çıktılar tüketiliyor; kalıcı bir “hesap durumu” bulunmuyor. Bu nedenle görsel olarak zehirlenebilecek bir adres geçmişi de oluşmuyor. Olayın bir protokol açığı ya da akıllı sözleşme hatası değil, tasarım ile insan davranışının tehlikeli bir etkileşimi olduğunu vurguluyor.
Benzer riskler son dönemde başka haberlerle de gündeme geldi. Geçtiğimiz haftalarda büyük bir cüzdan sağlayıcısı, kullanıcılarını adres kopyalama alışkanlığına karşı uyaran bir güvenlik güncellemesi yayımladı ve adres doğrulama ekranlarını yeniledi. Bu gelişmeler, bireysel önlemlerin yanı sıra cüzdan tasarımının da ne kadar kritik olduğunu gösteriyor.
