Bir kripto para balinası büyük bir kimlik avı saldırısının kurbanı oldu ve likit stake sağlayıcısı Rocket Pool’daki milyonlarca dolarlık stake edilmiş Ethereum‘unu kaybetti. Bu saldırı, ERC-20 token izinlerinin kullanıcıları dolandırmak için kötü niyetli akıllı sözleşmelerle kullanılma riskini gösteriyor ve Ethereum stake sağlayıcıları bu konuda gerekli uyarı ve önemler alarak sınırlamalar getirmeye çalışıyor.
24 Milyon Dolarlık Hack Saldırısı
Kripto para güvenlik firması PeckShield’in bildirdiğine göre büyük bir kripto para yatırımcısı bir kimlik avı saldırısı nedeniyle Lido Staked ETH (stETH) ve Rocket Pool ETH (rETH) bakiyesinin tamamını kaybetti. Saldırı biri 9.579 stETH diğeri ise 4.851 rETH çalındığı için sadece iki işlemle tamamlandı. Saldırının gerçekleştiği 6 Eylül tarihinde çalınan miktarlar 15,5 milyon dolar stETH ve 8,5 milyon dolar rETH olmak üzere toplam 24 milyon dolar değerindeydi.
PeckShield verilerine göre dolandırıcı daha sonra çalınan varlıkları 13.785 Ethereum ve 1,64 milyon Dai token ile değiştirdi. PeckShield, DAI zulasının önemli bir kısmının halihazırda tam otomatik kripto para borsası FixedFloat’a aktarıldığını bildirdi. SlowMist’in kripto izleme ekibi MistTrack de çalınan fonların çoğunun 0x4f2f02ee, 0x7023505 ve 0x2abdc2ab dahil olmak üzere üç adrese aktarıldığını bildirdi. Dolandırıcılık karşıtı kaynak Scam Sniffer’dan alınan verilere göre mağdur “Ödeneği Artır” işlemlerini imzalayarak dolandırıcıya token onaylarını etkinleştirdi.
Yöntem Hakkında Uyarı Gelmişti
İzin veya erişim izinleri üçüncü bir tarafın akıllı sözleşmeler kullanarak farklı bir sahibine ait olan bazı token’ları harcama hakkına sahip olmasını sağlayan ERC-20 token’larının bir özelliği. Bazı kripto para gözlemcileri daha önce ERC-20 izinlerinin onaylanmasıyla ilgili risklere karşı uyarıda bulunmuş ve anonim geliştiricilerin kullanıcıları dolandırmak için kötü niyetli akıllı sözleşmeler kullanabileceğini belirtmişti.
Haber en az beş Ethereum likit stake sağlayıcısının Ethereum stake piyasasının %22’sinden fazlasına sahip olmamayı taahhüt ettikleri bir sınırlama kuralı getirmelerinden ya da bu kuralı uygulamak için çalışmaya başlamalarından kısa bir süre sonra geldi. Söz konusu sağlayıcılar arasında Rocket Pool, StakeWise, Stader Labs ve Diva Staking’in yer aldığı bildirildi.
