Kripto dünyasında PEPE token sahibi bir kişi, Uniswap Permit2 üzerinden gerçekleştirilen bir kimlik avı saldırısında tam 1,4 milyon dolar kaybetti. Ne yazık ki, kurban farkında olmadan off-chain bir Permit2 işlemini onayladı. Bu imza dolandırıcının cüzdanına sınırsız erişim sağladı. İlginç olan nokta saldırganın bu işlemi onayladıktan sadece bir saat sonra çalınan tüm varlıkları yeni bir cüzdana aktarması.
PEPE Hırsızlığı: Uniswap Permit2 Kolaylık mı, Tehlike mi?
Uniswap 2022’de Permit2’yi devreye sokarak kullanıcılara aynı anda birden fazla token’ı onaylama kolaylığı sundu. İlk bakışta mükemmel bir yenilik gibi görünse de bu sistem dolandırıcılar için de bir fırsat kapısı haline geldi. Kullanıcılar tek seferde birden fazla token’ı onaylayarak gaz ücretlerinden tasarruf ediyor. Ancak bu kolaylık aynı zamanda ciddi bir güvenlik açığı doğuruyor. Görünüşe göre her teknolojik yeniliğin bir bedeli var, öyle değil mi?
Son saldırıda kurban yine farkında olmadan off-chain bir imza verdi. Dolandırıcı bu imzayı kullanarak cüzdandaki token’ları kendine çekti. ScamSniffer adlı bir siber güvenlik firması çalınan PEPE, Microstrategy (MSTR) ve Apu (APU) tokenlarının sadece bir saat içinde başka bir cüzdana aktarıldığını belirtti. Oldukça hızlı ve planlı bir operasyon gibi görünüyor.
Kimlik Avı Saldırılarında Dikkat Çekici Artış Var
Uniswap Permit2 üzerinden gerçekleştirilen kimlik avı saldırıları özellikle son dönemde önemli bir artış gösterdi. Mesela geçtiğimiz ay bir kullanıcı tam 12,083 spWETH token’ını kaybetti. Böylece 32,43 milyon dolarlık devasa bir zarar yaşadı. Bir başka örnekte bir yatırımcı 2,47 milyon dolar değerindeki Aave Ethereum sDAI token’larını kaybetti. Saldırıların ortak noktası ise kullanıcıların farkında olmadan Permit2 imzası verip dolandırıcılara cüzdan erişimi sağlamaları. Düşünsenize sıradan bir imza hareketi milyarlarca dolarlık kayba dönüşebiliyor.
MetaMask, bu tür saldırıların önüne geçmek için adım attı. Bunun için kullanıcıların izin süreçlerini daha net anlayabilmeleri adına Permit2 imza sürecini iyileştirmeye çalıştı. Ancak saldırılar halen devam ediyor ve milyonlarca dolar değerinde kayıplar yaşanıyor. Anlaşılan dijital dünyada dikkat her zamankinden daha önemli.
Bu olaylar kripto dünyasında “kolaylık” denilen kavramın ne kadar da tehlikeli sonuçlar doğurabileceğini bir kez daha gösteriyor. Kullandığımız her teknolojik yenilik beraberinde riskleri de getiriyor.