Blockchain ekosistemindeki güvenlik sorunlarına yönelik paylaşımlar yapan Twitter hesabı PeckShieldAlert, geçtiğimiz saatlerde yeni bir duyuru yaptı. PeckShieldAlert, yaptığı bu duyuruda Axie Infinity‘nin Discord sunucusunda bir dizi kimlik avı girişimi algıladığını bildirdi. İşte detaylar…
Axie Infinity’de Kimlik Avı Saldırısı Gerçekleşti
Blockchain güvenlik firması PeckShield’e göre, oyna-kazan oyunu Axie Infinity geçtiğimiz saatlerde bir kimlik avı saldırısına maruz kaldı. Öyle ki saldırganlar NFT mint‘leri gibi görünen kimlik avı bağlantıları yayınlayarak güvenliği ihlal etti.
Axie Infinity, resmi Twitter hesabından konuya yönelik yaptığı açıklamada sunucudaki bir botta güvenlik açığı tespit edildiğini belirtti ve Twitter paylaşımında şu ifadelere yer verdi;
Ana Axie sunucusuna yüklenen MEE6 botunda bir güvenlik açığı oluştu. Saldırganlar bu botu sahte bir Jiho [Jeff Zirlin, Axie’nin kurucu ortağı] hesabına izin eklemek için kullandılar ve daha sonra bir mint hakkında sahte bir duyuru yayınladılar.
Proje ekibi, saldırının hemen ardından sahte duyuruları kaldırdıklarını belirtti ve “asla sürpriz bir mint yapmayacaklarının” da altını çizerek kullanıcılarını dikkatli olmaları konusunda uyardı.
Diğer Projeler de Güvenlik Açığını Doğruladı
Axie Infinity’ye ek olarak diğer bazı projeler de, yaygın olarak kullanılan MEE6 Discord botunun güvenliğinin ihlal edilmiş olabileceğini öne sürerek saldırıyı doğruladı.
Öyle ki Memeland Twitter’da yaptığı açıklama ile birlikte kullanıcılarına “MEE6 botunun güvenliği ihlal edilmiş gibi görünüyor. Lütfen anlaşmazlığımızdaki hiçbir bağlantıya tıklamayın” dedi.
MEE6 İddiaları Reddetti
Ancak, MEE6 ekibi görünüşte botun güvenliğinin ihlal edildiği iddialarını reddetti.
MEE6 botu, kullanıcıların otomatik olarak rol veren ve kaldıran ve web sitesine göre mevcut kanallarda veya kullanıcının doğrudan mesajlarında mesaj gönderen komutlar oluşturmasını sağlar.
Ayrıca, takma adlı NFT eğitimcisi ve güvenlik denetçisi Skits, saldırının aslında yönetici hesaplarının güvenliğini tehlikeye atan bir kimlik avı dolandırıcılığı içerdiğini ve hangi yönetici hesaplarının ele geçirildiğini gizlemek için MEE6 özelliklerini kullandığını iddia etti.
Skits, konuya yönelik yaptığı açıklamalarda şu ifadelere yer verdi;
Önce bir yönetici hesabını hackleyecekler. İkinci olarak, alternatif bir hesap yöneticisi vermek için MEE6’dan bir tepki rolü özelliği oluşturacaklar. Bu yöntemi kullanarak, güvenliği ihlal edilmiş yönetici hesabının kim olduğunu gizlerken web kitabı mesajları gönderebilecekler.
Skits ayrıca, bir dolandırıcının bir milyondan fazla çaldığını kabul ettiği “büyük bir grup” gibi görünen saldırganlar arasındaki bir konuşmanın da ekran görüntüsü paylaştı.