Geçtiğimiz günlerde NFT koleksiyonlarından whitelist hakkı elde edebilmemiz için kullandığımız Premint NFT web sitesi hacklendikten sonra bu uyarı geldi. Çünkü bu hacklenme sonucunda oraya bağlanan cüzdan bağlantıları sonucunda 300’den fazla NFT ve 375.000$ Ethereum ele geçirilip kayıplara karışıldı.
Bunun üzerine NFT dünyasında Bored Ape Yatch Club (BAYC) olarak bildiğimiz koleksiyonun yaratıcısı Yuga Labs, ilerleyen zamanlarda NFT topluluklarını hedef alacak planlı saldırıların olabileceği konusunda uyarılarda bulundu.
Yuga Labs tarihlerimiz 19 Temmuz yani bugünü gösterdiğinde twitter takipçilerine, güvenlik ekiplerinin, güvenlik ihlali gerçekleşmiş sosyal medya hesapları aracılığı ile NFT topluluklarını tehdit eden bir kaç grubu takibe aldığını ve kendi koleksiyonerlerinin ve takipçilerinin dikkatli olmalarını konusunda tekrar tekrar uyardı.
Tabi ki gerçekleşen bu uyarılar Yuga Labs’ın ilk uyarıları değil. Geçtiğimiz Haziran ayında Yuga Labs’ın kurucu ortaklarından olan Gorden Goner yine aynı şekilde gerçekleşebilecek bir sosyal medya saldırısını önceden bildirmiş ve Twitter’da bunun üzerine saldırının gerçekleşebileceği hesapları takip edip ekstra önlemler almıştı.
Premint NFT Web Sitesi Hacklendi
Premint, NFT sanatçılarının çok sayıda doğrulanmış NFT koleksiyonerlerine hızlı bir şekilde erişmesine ve onları yeni NFT projeleri için beyaz listeye(whitelist) almasına yardımcı olan bir NFT beyaz listeye alma hizmetidir. NFT hizmetleri platformu, 12.000’den fazla NFT projesine ve 2,4 milyondan fazla koleksiyoncudan oluşan bir veri tabanına sahiptir.
Blockchain güvenlik firması Certik‘e göre, hırsızlıklar Pazar günü bilgisayar korsanlarının Premint’in web sitesine kötü amaçlı kod girmesinden sonra gerçekleşiyor.
Kod, kullanıcılardan cüzdan sahipliklerini doğrulamalarını isteyen ancak bunun yerine bilgisayar korsanlarına kurbanlarının cüzdanlarından NFT aktarmaları için gerekli izinleri veren bir açılır pencere oluşturmasına imkan sağlıyor. Doğal olarak izinleri vermek için Metamask veya diğer cüzdanlardan onay verdikten sonra hırsızlığın gerçekleşmesi için kapıları açmış oluyorsunuz.
Lakin bundan sonra böyle bir olayın gerçekleşmemesi için Premint yaptığı açıklamada;
“PREMINT üzerinde HİÇBİR TÜR işlemi onaylamanız asla ve ASLA istenmez. Bir cüzdan bağlarken, bir mesajı *imzalamanız* istenecek ancak ASLA bir gaz ücreti veya işlem benzeri bir şey olmayacak.”
Bu açıklama ile birlikte Premint olayı incelemeye devam ettiğini ayrıca bu saldırı sonucunda kullanıcıların daha güvenli ve daha rahat olacağını iddia ettikleri cüzdanları olmadan oturum açmalarına izin verdi.