Ethereum’da yaşanan kimlik avı saldırısı 180 bin dolarlık ANDY ve USDC kaybına neden oldu

Bir kripto para yatırımcısı, Ethereum’da yaşanan kimlik avı saldırısına kurban giderek, 180.000 doların üzerinde USD Coin (USDC) ve yeni piyasaya sürülmüş bir meme coin olan ANDY (ANDY) kaybetti.

Etherscan verilerine göre saldırı 23 Nisan’da, saat 08:39’dan 09:29’a kadar yaklaşık bir saat içinde gerçekleşti.

Raporlar, faillerin birden fazla gizli çağrıyı tek bir işlemde toplayıp gerçekleştiren bir kimlik avı saldırısı uyguladığını doğruluyor. Bu saldırı yönteminde tek bir işlemde birden fazla fonksiyon çağrısı birleştirilir. Bu çağrılar ayrı ayrı incelendiğinde zararsız görünebilir ancak bir araya geldiğinde karşı taraf için risk oluşturur.

Bugün yaşanan kimlik avı saldırısının mağduru, değeri 162.400 dolar olan 1,6 milyar ANDY ve 17.913 USDC kaybetti. Cüzdanında sadece 32 dolar değerinde Ethereum (ETH) ve Arbitrum (ARB) kaldığı görüldü. Saldırganlardan birisi çaldığı varlıkları cüzdanında saklarken diğeri tüm ANDY tokenlarını Uniswap’te WETH’ye dönüştürdü ve sonrasında yeni bir kripto cüzdan adresine taşıdı.

Saldırı, büyük ihtimalle mağdurun akıllı sözleşmelerle etkileşimi üzerinden gerçekleşti. Kötü niyetli aktörler, genellikle token takası (swap) gibi standart bir DeFi işlemi gibi görünen, fakat gerçekte kullanıcının tokenlarını saldırgana aktarmayı onaylayan gizli komutlar içeren sözleşmeler oluşturur. Bu durum, dışarıdan bakıldığında normal bir işlem gibi gözükse de aslında mağdurun zararına işlemler yapılmasına olanak tanır.

Crypto.news geçen ay benzer bir saldırı tespit etmişti; geçmiş saldırıda 674.000 dolar değerinde USDC kaybedildi. Failler, varlıkları hızlıca ellerinden çıkarmak için Ox protokolüne aktardı. Bu tür açıkların yaygınlaşmasıyla birlikte, şubat ayında 57.000’den fazla kripto kullanıcısının kimlik avı saldırılarına 46 milyon dolar kaybettiğini ortaya koyan bir rapor yayımlandı.