Web3 E-posta şirketi MailerLite, bilgisayar korsanlarının büyük Web3 şirketlerinin hesaplarına erişim sağlayarak abonelerden tahmini 3,3 milyon dolar çeken kimlik avı e-posta dolandırıcılığı gerçekleştirdiğini doğruladı. 23 Ocak’ta gerçekleşen saldırıda hedef alınan birkaç Web3 şirketi arasındaydı ve WalletConnect, Token Terminal ve De Fi’nin resmi hesaplarından gönderilen e-postalar, cüzdan boşaltma yazılımı barındıran kötü amaçlı bağlantılar içeriyordu.
MailerLite Ekibinden Açıklama Gecikmedi
E-postaların abonelere gönderilmesinden saatler sonra MailerLite, bir müşteri destek çalışanını hedef alan bir sosyal mühendislik saldırısı yoluyla sisteminin nasıl ele geçirildiğine ilişkin ayrıntıları yayınladı. Açıklamada şu ifadelere yer verildi:
“Destek portalımız üzerinden bir müşteri sorgusuna yanıt veren ekip üyesi, aldatıcı bir şekilde sahte bir Google oturum açma sayfasına bağlanan bir resme tıkladı.”
Ekip üyesi daha sonra farkında olmadan erişim kimliğini doğruladı ve bu da saldırganların MailerLite’ın dahili yönetici paneline erişmesini sağladı. Bilgisayar korsanları, yönetici paneli aracılığıyla belirli bir kullanıcının şifresini sıfırlayarak daha fazla kontrol elde etti:
“Bu erişim seviyesiyle, kullanıcı hesaplarını taklit edebildiler. Odak noktası yalnızca kripto paralarla ilgili hesaplardı.”
MailerLite, bilgisayar korsanlarının 117 hesaba eriştiğini ancak kimlik avı kampanyaları başlatmak için yalnızca küçük bir kısmını kullandığını açıkladı. Hizmet sağlayıcı, müşterilerinin ve abonelerinin tam adları, e-posta adresleri ve MailerLite’a yüklenen kişisel bilgileri de dahil olmak üzere verilerinin etkilendiği konusunda uyardı.
Saldırıya İlişkin Dikkat Çeken Detaylar
MailerLite’ın destek ekibi, kimlik avı e-posta dolandırıcılığının önemli bir hedefi olmasına rağmen olay hakkında henüz ek bilgi vermedi. Blockchain veri analiz platformu Nansen, saldırganlar tarafından çalınan fonların değerini tahmin etmede yardımcı oldu. Araştırma ekibine göre ana kimlik avı cüzdanı Nansen destekli blockchain veri token akışlarını izleyerek 3,3 milyon dolarlık toplam giriş gördü:
Ancak bu rakamın 2,6 milyon doları, yalnızca Latoken borsasında işlem görüyor gibi görünen Xbanking token’ları. Nansen’in ekibi konuya ilişkin yaptığı açıklamada 2,6 milyon doların tam seyreltilmiş değerlemesinin %80’i olduğunu ve bunu dönüştürmenin zor olabileceğini söyledi.
Çalınan toplam fonlardan Xbanking varlıklarını çıkaran Nansen, çalınan ve daha kolay dönüştürülebilir olan fon miktarını 700.000 dolar değerine indiriyor. Reddit’te anonim bir kullanıcıdan gelen ayrıntılı bir başlıkta olayla çalınan toplam fonların benzer bir tahminine ulaştı. Nansen, XB token’lardan bahsedilmesini de içeren bulguları doğruladı.
Hem Nansen hem de Reddit gönderisi, saldırganların çalınan token’ların transferini gizlemek için Railgun gizlilik protokolünü kullandığını vurgulamakta. Sistem; Ethereum, BNB Chain, Polygon ve Arbitrum için doğrudan zincir üzerine inşa edilmiş bir gizlilik çözümüdür ve akıllı sözleşmelerin ve merkezi olmayan finans protokollerinin özel kullanımını sağlamak için zero-knowledge kriptografisi kullanıyor.
