Dijital varlık uyumluluğu ve risk danışmanlığı firması olan TRM Labs, 25 Temmuz’da son aylarda Discord sahtekarlığı ve kimlik avı saldırıları hakkında bir soruşturma raporu yayınlayarak, NFT projelerinin popülaritesi ile Discord’un çalınan Discord hesaplarını kullanarak giderek daha fazla bilgisayar korsanını çektiğini söyledi.
NFT ile ilgili dolandırıcılık ve kimlik avı saldırıları %55 artarak tüm NFT topluluğuna Mayıs ayından bu yana yaklaşık 22 milyon dolara mal oldu.
TRM Labs tarafından işletilen bir dolandırıcılık raporlama platformu olan Chainabuse, Mayıs ayından bu yana 100’den fazla Discord saldırı raporu aldı.
Discord Hackerları tarafından kullanılan yaygın dolandırıcılıklar
TRM Labs analizine göre, NFT projesi Discord’a saldıran birçok bilgisayar korsanı benzer dolandırıcılık yöntemlerini kullanıyor:
- Kimlik avı ve hileli hesaplarla yöneticilerin kimliğine bürünme gibi gelişmiş sosyal mühendislik saldırıları.
- Yöneticilerin rolleri otomatik olarak atamasına ve silmesine ve topluluk mesajları göndermesine olanak tanıyan Mee6 gibi bot güvenlik açıklarından yararlanma.
- Bazı durumlarda saldırganlar, Discord moderatörlerinin bilgisayar korsanlığı işlemlerine müdahale etmesini önlemek için yönetici ayarlarını bile güncellediler.
TRM Labs, bilgisayar korsanlarının, ücretsiz veya sınırlı beyaz listeleri kaçırmamak için kullanıcıları hızlı hareket etmeye yönlendirmek için genellikle NFT para basma olaylarıyla ilişkilendirilen aciliyet duygusundan yararlanmaya çalıştıklarına dikkat çekti. Aşağıda, Discord kanal üyelerini bir bağlantıya tıklamaya ikna eden dolandırıcıların kimlik avı görüntüsü bulunmaktadır.
Tanınmış projeler için, saldırının kaynağı son derece alakalı
TRM Labs raporunda ayrıca kimlik avının BAYC, Bubbleworld, Parallel, Lacoste, Tasties ve Anata gibi birçok tanınmış NFT projesine saldırdığı da belirtildi. Saldırganlar, değerli NFT’leri olan kullanıcılara kasıtlı olarak “BAYC, MAYC ve Otherside özel hediyeleri” tanıttı ve kullanıcıları ETH’de mint ücreti göndermeye yönlendiren dolandırıcılık bağlantıları sağladı.
Kurban bağlantıya tıkladığında, işlem cüzdana saldırır ve NFT’yi saldırganın cüzdanına aktarır. Kurbanın haberi olmadan, bu, cüzdan için setApprovalForAll veya benzeri bir çağrı işlevini ayarlar ve saldırganın, NFT’yi belirtilen cüzdan adresine transfer etmek için cüzdanı onaylamasına izin verir. Sonunda, çalınan NFT’lerin tümü, saldırgan tarafından belirlenen cüzdana aktarılır.
TRM Labs Investigations, Yuga Labs NFT’leriyle ilgili dolandırıcı cüzdanlarını izlemek için bir araç kullanır. Çalınan malları sattılar ve çalınan malların gelirlerini üç cüzdan adresine dağıttılar ve ardından parayı aklamak için para karıştırma platformu Tornado Cash ve ara cüzdanları kullandılar.
Mayıs ve Haziran aylarında üç cüzdan açığa çıktı. Fonlar transfer edildikten sonra, bir kısmı sonunda Discord sızıntısıyla ilgili olduğu tespit edilen borsa cüzdanlarından birine aktı.
Olaya karışan saldırganların sayısı hala bilinmiyor
TRM Labs, soruşturmanın aktif olmasına rağmen, suçun hızı nedeniyle tutukluların sayısını ve şeklini bilmenin zor olduğunu yineledi. TRM, saldırıların büyük çapta dolandırıcılığı yürütmek için farklı bilgisayar korsanları tarafından koordine edildiğinden şüpheleniyor, ancak saldırıların kaynağını kanıtlamadı.
Decrypt, blockchain güvenlik şirketi Halbornpd’nin son aylarda dolandırıcılık olaylarını araştırdığını bildirdi ve saldırı güvenlik mühendisi cesurca saldırının Çin’den geldiğini belirtti:
Analizimiz, esas olarak yüksek değerli kullanıcıları hedefleyen bir Çinli gruptan gelen bu saldırıya işaret ediyor. Advanced Persistent Attack (APT) etkinliğinde logaritmik bir büyüme bekliyoruz ve ayrıca Web 3.0 şirketlerini ve perakende müşterilerini hedef alan kendi düşmanlarının ortaya çıkmasını bekliyoruz.
