En popüler merkeziyetsiz kripto para borsalarından biri olan Uniswap üzerindeki likidite sağlayıcıları, karmaşık bir kimlik avı saldırısının kurbanı oldu ve tahmini 8,6 milyon dolar değerinde kripto varlığını bu saldırıda kaybetti. Yaşanan bu olayla birlikte de büyük çaplı bir araştırma başlamış durumda.
Milyonlarca dolarlık Ethereum çalındı
Zincir üstü veriler, kayıpların çoğunun Uniswap’ın likiditesini sağlayan Ethereum cüzdanından olduğunu ortaya koymakta.
Bir bilgisayar korsanı, dünyanın en büyük merkezi olmayan borsası Uniswap’ın likidite sağlayıcılarından 8,6 milyon dolardan fazla kripto varlığı çalmayı başardı. Olay, Pazartesi günü geç saatlerde bir saldırganın, yerel bir UNI değişim yönetimi tokeni gibi görünen kötü niyetli bir tokeni yaklaşık 7.399 Uniswap likidite sağlayıcı Ethereum adresine göndermesiyle meydana gelmeye başladı. Kurbanlar, resmi Uniswap ön ucunu taklit eden kötü niyetli bir web sitesi tarafından hedef alındılar. Kimlik avı sitesi, kurbanlara borsaya likidite sağladıkları için ödül olarak aslında sahte olan UNI tokenleri almaları talimatını verdi, ancak kurbanlar bu hediyeyi kabul ettiğinde, kasıtlı olarak dolandırıcılık işlemine izin vermiş oldu. Saldırgan da kullanıcıların kendisine farkında olmadan verdiği izinlerle buradan cüzdanlarını boşaltabilmek için token transferleri gerçekleştirebildi.
Çok sayıda Uniswap likidite sağlayıcısını hedef alsa da, saldırganın çaldığı büyük bir birikimi tek bir kişiden elde etmiş gibi görünüyor. Cüzdanlarına erişim sağladıktan sonra saldırgan, mağdurların wBTC/USDC Uniswap V3 likidite havuzundaki likidite pozisyonunu temsil eden NFT’yi çaldı, pozisyondan çıktı ve varlıkları ETH ile değiştirdi. Saldırgan, Tornado Cash gizlilik protokolü aracılığıyla hemen kara para aklamaya başlamış görünüyor. Zincir üzerinden elde edilen verilere göre, saldırganın haber yayın saatleri itibariyle tahmini 8.6 milyon dolar değerinde 7.500’den fazla ETH’si bulunuyor.
MetaMask altında çalışan ve harry.eth olarak bilinen bir siber güvenlik araştırmacısı, olayla ilgili Pazartesi günü Twitter’da alarm verdi. Ancak, birkaç saat önce Binance CEO’su Changpeng Zhao aynı olay hakkında bağımsız olarak uyarıda bulunana kadar uyarıları büyük ölçüde dikkate alınmamıştı.
Kimlik avı saldırıları kripto para endüstrisinde giderek daha yaygın bir hal almaya devam ediyor. Ayrı bir başka saldırıda, Mayıs ayında Yuga Labs’taki dönüm noktası olan Otherside NFT olayında, dolandırıcılar benzer bir dolandırıcılık kampanyası kurarak ve kurbanları kötü adamlara çekerek onları kandırdılar. Bunun sonucunda da 3,7 milyon dolardan fazla para toplamayı başardılar.
