Uniswap Crypto Phishing Saldırganı 8 Milyon Dolar Çaldı: Phishing Nasıl Önlenir?

Bir kripto dolandırıcısı, 73.000’den fazla Uniswap LP’yi vurdu ve kötü niyetli havadan atılan jetonları kullanarak 8 milyon dolardan fazla çaldı. Kimlik avı saldırısından nasıl kaçınılacağı aşağıda açıklanmıştır.

Uniswap protokolünde ticaret yapmak için kullanılan jetonları sağlayan 73.000’den fazla Uniswap likidite sağlayıcısı (LP), klasik bir dolandırıcılık hakkında sert bir ders aldı. Kripto, dolandırıcıların ve bilgisayar korsanlarının avlanma yeri olmasıyla ünlüdür ve en etkili stratejilerden biri oltalama saldırılarıdır . Kripto para birimleri ve NFT’ler, blok zinciri teknolojisinin aşılmaz güvenliği ile korunduğundan, blok zinciri varlıklarını çalmanın en kolay yolu hile yapmaktır.

Web 2.0’da, bir kimlik avı saldırısı, genellikle alıcının cihazına saldıran bir virüs içeren bir eki olan sahte bir e-postayı içeren veya daha da kötüsü, sessizce arka planda oturup kişisel verilerini toplayan bir saldırı türüdür. Web 3.0’da, bir kimlik avı saldırısı, genellikle, kullanıcıyı, kripto varlıklarını saldırganın cüzdanına aktaran kötü niyetli bir akıllı sözleşme imzalaması için kandırmak için tasarlanmış gerçek bir kripto projesinden klonlanmış sahte bir ön uç web sitesidir. e-posta (biliniyorsa) veya kötü amaçlı bir belirteç aracılığıyla. Kurbanlar, genellikle erken kullanıcılar için bir ödül olarak verilen jetonların ücretsiz dağıtımı olan bir “airdrop” vaadi ile cezbedilir ve airdrop’u talep ettiklerinde kötü niyetli kod yürütülür. Bir pompala ve boşalt kripto dolandırıcılığından farklı olarak, bir kimlik avı saldırısı, kurbanın cüzdanındaki varlıklarını doğrudan çalmak için akıllı bir sözleşme kullanır.

CoinDesk’e göre , Uniswap saldırganı, kullanıcıların Uniswap’tan bir airdrop aldıklarına inanmalarını sağlamak için sahte Uniswap LP jetonlarını kullanıcıların cüzdanlarına aktardı ve soruşturmanın ardından, Uniswap klonu olan sahte bir web sitesine yönlendirildi. Web sitesi, onlardan cüzdanlarını bağlamalarını ve LP jetonlarını UNI jetonlarıyla takas etmek için bir işlem imzalamalarını istedi ve böylece airdrop tamamlandı. Bunun yerine, kötü niyetli kod yürüttü ve tüm gerçek Uniswap LP belirteçlerini çaldı. WBTC ve USDC sağlayan bir kullanıcı saldırıya 8 milyon dolardan fazla kaybetti.

Uniswap Rastgele Havadan Bırakılan Jetonlara Dokunmayın

Kripto para dolandırıcılığı yapmak zor değil . Kötü niyetli bir akıllı sözleşme tasarlamak ve dağıtmak, açık kaynaklı bir ön uç klonlamak ve ardından virüslü belirteçleri tüm potansiyel kurbanlara göndermek nispeten kolaydır. Bu kurbanlar, belirteçler Etherscan’da göründüğü ve bir dolar değerine sahip olduğu için belirteçlerin nereden geldiğini araştıracak ve belirteçlerin web sitesi URL’sini takiben cüzdanlarını bağlamalarını ve talep etmek için bir işlem imzalamalarını gerektiren bir sayfa sunulacak. onların airdropu. Özellikle Uniswap gibi büyük projeler için ücretsiz kripto vaat eden herhangi bir işlemi imzalamadan önce üstünkörü araştırma yapmak ve tüm ücretsiz kriptoları potansiyel bir dolandırıcılık olarak değerlendirmek gerekir.

Uniswap gibi saygın bir protokol airdrop yapacaksa, blogunda ve resmi sosyal medya kanallarında duyuru yapacak. Meşru kripto projeleri , pahalı ve güvenli olmadığı için jetonları alıcılarına “iterek” çok nadiren airdrop gerçekleştirir . Bunun yerine, alıcıların resmi web sitesine gittiği ve jetonları bir airdrop sayfasından topladığı bir “çekme” teslimat yöntemi kullanmak standarttır. Çekme yöntemi, gönderici için daha ucuzdur ve jetonların nereden geldiğini bildikleri için alıcı için çok daha güvenlidir. Son olarak, meşru projeler, akıllı sözleşme kodlarını Etherscan gibi blok kaşiflerine doğrulayacak ve yükleyecektir; bu, bir işlemi imzalamadan ne olduğunu bilmenin tek yoludur.

Bir kullanıcının bir Web3, metaverse veya blok zinciri projesinden jeton alırsa yapması gereken ilk şey, bir airdrop hakkında bir yazı için projenin resmi blogunu ve sosyal medya kanallarını kontrol etmektir ve eğer hiçbiri duyurulmazsa, alınan jetonlar ele alınmalıdır. olarak şüpheli. Kötü niyetli belirteçlerin yalnızca etkileşime girdiklerinde saldırabileceğini hatırlamak önemlidir. Uniswap kimlik avı saldırısının kurbanları için yapılabilecek pek bir şey olmasa da , diğer herkes, hava yoluyla gönderilen bir airdrop yoluyla alınan jetonlardan hemen şüphelenmelidir, çünkü bu, endüstri standardı bir airdrop gerçekleştirme yöntemi değildir ve sıklıkla kullanılır. kimlik avı saldırıları.