Kripto para ekosistemi her geçen yıl inanılmaz hızda büyüyor. Fan tokenlar, DeFi, NFT ve Metaverse derken hayatımıza birçok yenilik girdi. Bu yeniliğin peşinden sadece yatırımcılar koşmuyor. Hackerlar da gelişen teknoloji ve yeni ürünlere uyumlu siber saldırı yöntemleri geliştiriyor. Her ay yüzlerce yeni exploit (zafiyet, bug istismarı) internette satışa çıkarılıyor. Bugün son derece riskli bir güvenlik açığından bahsedeceğiz, bu açık sayesinde para kaybetmek için sadece hediye kabul etmeniz yetiyor sonrasında zaten sizi tuzağa çekiyorlar.
Yeni Nesil NFT Truva Atı
Rat veya backdoor virüsleri için Truva atı tanımlaması fazlasıyla yapılıyordu. Bunun sebebi bir resmin veya videoya benzer bir dosyanın virüs olarak karşı tarafa gönderilmesiyle ilgiliydi. Siz jpeg ikonuna sahip dosyaya tıkladığınızda bir görsel açılır ancak arka planda aktifleştirdiğiniz ikinci dosyayı yani virüsü fark etmezdiniz. Resim süsü verildiği için de kolayca binder edilmiş dosyaya aldanırdınız. Fakat bu sefer durum farklı, tarihteki Truva atı olayına benzer şekilde NFT saldırıları ortaya çıktı.
Size harika görünen bir hediye geliyor. OpenSea profilinize girdiğinizde bu havadan gelen hediyeyle mest oluyorsunuz. Ancak bu bir hediye değil, tam anlamıyla içinde askerler saklayan bir Truva atıdır. Siber güvenlik şirketi Check Point Research tarafından fark edilen bu saldırı modeli çok sayıda insanı mağdur etti.
NFT Hack Saldırısından Nasıl Korunabiliriz?
Özellikle Metamask kullanan yatırımcılar ciddi risk altında bulunuyor. Twitter üzerinden bu tarz teknik detayları oldukça anlaşılır şekilde paylaşan Smart Contract (@KumpirMafyas) yatırımcıları uyardı.
Öncelikle hediye NFT sizin cüzdanınıza geliyor. Siz bu görseli yeni bir sekmede açıyorsunuz, bunu yaptıktan sonra sizden izin isteyen bir pencere aniden beliriyor. Bunu java ve flash sorgulu dow. virüslerine de benzetebiliriz. Siz bu açılan pencerede onaya tıklarsanız MetaMask cüzdan bilgileriniz karşı tarafa gider. Sonrasında sizin fark edemeyeceğiniz bir şekilde transfer onayı için bir mesaj kutusu daha karşınıza çıkar. Ne olduğunu anlamadan buna da tıklarsınız ve tüm bakiyeniz saldırganlara gider. Normalde NFT’ler için yetki ve imza istekleri normal bir durumdur fakat hackerlar buradaki özelliği lehlerine kullanarak kendilerine bir arka kapı açabiliyor. Şimdilik OpenSea bu açığı kapattığını söylese de farklı versiyonlarının şu an aktif olup olmadığını bilemiyoruz. Aynı şekilde farklı NFT pazarlarında halen bu zafiyet günceldir.
Smart Contract (@KumpirMafyas) bu konuda yatırımcıları uyarıyor. Öncelikle sahte MetaMask ara yüzünde olup olmadığınızı anlamak için cüzdanınızı özelleştirin, yani renk ve bazı tasarım değişiklikleri yapabiliyorsunuz. Bu tasarım size özgü olsun, akıllı sözleşmelerde verdiğiniz onayların ne anlama geldiğini mutlaka araştırın. Mümkünse default yetkiler ezberinizde olsun farklı izinler talep eden kontratlara karşı temkinli olmalısınız.
Hiçbir internet sitesine cüzdan ve özel anahtarınızı yazmayın. Bu belki şimdilik size saçma geliyor ama bu özel bilgileri yatırımcılardan almak için kurgulanmış yüzlerce farklı dolandırıcılık hikayesi bulunuyor.
Son kural, bedava peynir sadece fare kapanında olur. Biri size NFT gönderebilir, hatta bu NFT son birkaç gün içinde çok fazla alınıp satılmışta olabilir. Kesinlikle projesini bilmediğiniz hediyeleri kabul etmeyin. Yapay hacimlerin şimdilik önüne geçilemiyor, bu yüzden bir koleksiyonun fiyat grafiğinden daha çok arkasında kim olduğuyla ilgilenin.