Adres Zehirlenmesi Saldırıları: 0,00'lık İşlem Cüzdanları Nasıl Boşaltır

Adres zehirlenmesi tam olarak nedir

Adres zehirlenmesi saldırısı, bir protokolü değil bir kişiyi hedef alan düşük maliyetli bir hiledir. Saldırgan, halka açık blockchainleri izler, içinde fon bulunan bir adres bulur ve ardından kontrol ettiği yeni bir cüzdandan az miktarda token gönderir. Yeni cüzdan, kurbanın gerçek adresine neredeyse tıpatıp benzeyecek şekilde tasarlanmıştır: ilk dört ile altı karakter ve son dört ile altı karakter eşleşir. Ortadaki her şey farklıdır.

Bu toz işlemi artık kurbanın işlem geçmişinde durmaktadır. Çoğu cüzdan, genellikle kısaltılmış şekilde, "şuraya gönderildi" veya "etkileşimde bulunulan" adreslerin son bir listesini görüntüler. Kullanıcı daha sonra aynı muhataba fon göndermesi gerektiğinde arama yapar, bir göz atar ve kopyalar. Zehirlenmiş kaydı kopyalar. Gerçek transfer, ödemeyi yaptığını düşündüğü satıcıya, arkadaşına veya borsaya değil, saldırgana gider.

Nelemin olup olmadığını netleştirmekte fayda var. Blockchain hacklenmiş değildir. Cüzdan yazılımı ele geçirilmiş değildir. Özel anahtar sızmış değildir. Toz gönderimi anında herhangi bir imza avı (phishing) yapılmamaktadır. Saldırgan, esasen geçmişinizde görsel olarak ikna edici bir kartvizit bırakır ve ardından bir dikkatsizlik anını bekler. Saldırganın maliyeti birkaç kuruştur. Kurban, tuzağa düşerse, sahip olduğu her şeyi kaybedebilir.

"Ücretsiz" bir işlemin gerçek maliyeti

Basit bir token transferi için zincir üstü ücret düşük olduğundan (ve bazı ağlarda sübvanse edildiğinden), bir saldırgan tek bir öğleden sonra binlerce adrese toz gönderebilir. Bu zehirlenmiş adreslerin çoğuna hiç dokunulmayacaktır. Saldırganın, bin adresten birinin büyük bir ödemeyi yanlış yere göndermesini sağlaması yeterlidir.

Mali hasar birikiyor. SlowMist ve diğer zincir üstü araştırmacılar, tek bir hatalı transferde birkaç bin dolardan bir milyon doların üzerine kadar kayıplar yaşayan bireysel mağdurları takip etmiştir. Geniş çapta haber yapılan 2023 tarihli bir vakada, bir trader adres zehirlenmesi tarzı tek bir hata ile yaklaşık 68 milyon dolar kaybetmiştir. Bu teknik, bireylerden, kripto şirketlerindeki çalışanlardan ve daha küçük protokollerdeki hazine operasyonlarından çalmak için kullanılmıştır. Chainalysis ve benzeri kuruluşlar, adres zehirlenmesini kriptoda en fazla maddi hasara yol açan protokol-dışı istismarlardan biri olarak, genel olarak phishing ve onay dolandırıcılıkları ile aynı kategoride sürekli olarak sınıflandırmıştır.

Suçlular için çekici kılan bu asimetrinin kendisidir. Potansiyel olarak 50.000 dolar çalmak için 5 dolarlık gas harcamak mükemmel bir bahistir. On bin adres arasında potansiyel olarak 500.000 dolar çalmak için 50 dolarlık gas harcamak ise daha da iyidir. Bu sofistike bir hack değildir; bir dizenin ilk ve son karakterlerinde desen eşleştirmesi yapan beyninize yönelik doğrudan yanıt pazarlamasıdır.

Vanity poisoning adresi nasıl finanse edilir

Hedef adresle aynı karakterlerle başlayıp biten bir adres oluşturmak, kaba kuvvet (brute-force) gerektiren bir problemdir. Modern cüzdan adresleri kısa değildir; bir Ethereum adresi 42 onaltılık karakterden oluşur ve bir Bitcoin adresi ise formata bağlı olarak 26 ila 62 alfanümerik karakter uzunluğundadır. Başta dört ve sonda dört karakteri eşleştirmek istatistiksel olarak kolaydır. Ethereum'da başta altı ve sonda altı karakteri eşleştirmek, modern bir tüketici GPU'sunda hâlâ dakikalar içinde üretilebilir.

Saldırganlar bu süreci otomatikleştirir. Bir script özel anahtarlar üretir, genel adresi türetir ve adresin seçilen önekle ve sonekle başlayıp başlamadığını kontrol eder. Eşleşme bulduğunda, script yeni adresi küçük bir ETH bakiyesi (gaz ödemek için) ve popüler bir tokenin (genellikle USDT veya USDC) çok küçük bir bakiyesi ile fonlar. Toz gönderimi daha sonra kurban adresine yapılır. Kurbanın bakış açısından, zehirli adres artık geçmişinde meşru görünümlü, 0,00 $ değerinde bir token alımı olarak görünür.

Fonlama adımının kendisi de anlaşılmaya değer. Bazı saldırganlar mikser kullanır, bazıları zayıf KYC uygulayan merkezi borsalardan yeni fonlanmış cüzdanlar kullanır ve bazıları çalıntı fonları kullanır. Zincir üstü analiz firmaları, zehirleme işlemlerinin toplu halde aynı fonlama kaynaklarına kadar izini sürmüş olup bunun milyonlarca bağımsız dolandırıcıdan ziyade az sayıda örgütlü operatörün işi olduğunu göstermektedir. Bu, saldırıları savunmayı kolaylaştırmaz; tam tersine, zincirler genelinde ölçekli olarak bu taktiği uygulayan, az sayıda yetenekli ve iyi sermayeli ekibin olduğu anlamına gelir.

Wallet geçmişi numarayı neden işe yarar hale getirir

Başarısızlık noktası teknoloji değildir. Asıl sorun arayüzdedir. Bir cüzdanı aylar ya da yıllar kullandıktan sonra, neredeyse her kullanıcının uzun bir işlem geçmişi olur. Cüzdanlar, sık alıcıları kolayca bulunabilir kılmak için tasarlanmıştır: ararsınız, kaydırırsınız, tıklarsınız. Birçok cüzdan, geçmiş listesindeki adresleri varsayılan olarak kırpar ve yalnızca ilk altı ve son dört karakteri gösterir. Orta kısım üç nokta arkasına, bir "tam adresi göster" düğmesine gizlenir ya da hiç gösterilmez.

Bu kırpma, tasarım açısından mantıklıdır. Onaltılık diziler okunabilir değildir ve her işlem için tam 42 karakterlik adresi göstermek, geçmiş listesini birbirinden ayırt edilemeyen bir karakter yığınına dönüştürür. Ama okunabilirliği artıran aynı özellik, saldırganın istismar ettiği özelliktir. Bir kullanıcı ikisi de 0xAbCd ile başlayıp ikisi de ...1234 ile biten iki adres gördüğünde, aynı adres olduklarını varsayar. Öyle değildir. Herhangi bir altı karakterlik öneki ve dört karakterlik soneki paylaşan yaklaşık 2^32 (yaklaşık 4 milyar) farklı Ethereum adresi vardır. Çakışmalar, saldırganların bilinçli olarak eşleşme bulabileceği kadar yaygındır.

Kopyala-yapıştı anı, başarısızlık anıdır. Kullanıcı acele ediyordur, bir faturayı ödüyordur, bir piyasa hareketine yetişmeye çalışıyordur ya da tezgah üstü bir ticaret muhatabına ödeme yapıyordur. Cüzdanı açar, geçmişte tanıdık görünen adresi bulur, tıklar, işlemi küçük bir ekranda onaylar ve gönderir. Bir donanım cüzdanında, cihaz ekranına hızlıca bakar, beklediği şekilde başlayıp biten bir dizi görür ve onaylar. Tam adres bilinçli dikkate hiç girmez. Tüm saldırının özü budur: insanlar uzun alfanümerik dizileri güvenilir şekilde okuyamaz ve cüzdanlar da onları bunu yapmaya zorlayacak şekilde tasarlanmamıştır.

Etherscan'da zehirli bir işlem nasıl görünür

Etherscan veya Solscan gibi bir blok gezgininde, zehirleme işlemi görsel olarak dikkat çekici değildir. Normal bir ERC-20 (ya da Solana'da SPL) token transferidir. Gönderici adresi, önceki geçmişi olmayan yeni bir cüzdandır. Alıcı adresi ise kurbandır. Token genellikle USDT, USDC ya da ondalıklarının 0,00 tutarı inandırıcı kılması için seçilmiş düşük likiditeli bir tokendir. Değer tipik olarak minimum birimdir; örneğin tokenin 0,000001'i, cüzdan arayüzünde "0,00" olarak görüntülenir.

Tehlike, kurbanın tepkisindedir. Birçok kullanıcı 0,00 $ değerinde bir alım fark eder ve umursamaz. Bazı cüzdanlar bunu "airdrop" veya "gelen" olarak etiketler; bu da ücretsiz ve zararsız görünür. İşlem onaylanır, zehirli adres artık kullanıcının geçmişindedir ve tuzak kurulmuş olur. Kullanıcının gerçek muhataba bir sonraki ödemeyi yapması gerektiğinde, zehirli kayıt tam orada, bir tık uzaklıktadır.

Etherscan'da saldırganın bir sonraki adımını da görebilirsiniz. Toz gönderiminden sonra, saldırganın cüzdanı bazen günlerce, haftalarca ya da aylarca boşta kalır. Bilinen herhangi bir borsa, mikser çıkışı ya da başka bir hizmetle bağlantısı yoktur. Sadece bir tutma cüzdanıdır. Ardından, bir kurban gerçekten ona para gönderirse, saldırgan bakiyeyi dakikalar içinde, genellikle iz sürmeyi zorlaştırmak için birkaç cüzdana bölerek yeni bir adrese süpürür. Bu, klasik adres sahtekarlığı dolandırıcılıklarında kullanılan aynı senaryodur; sadece kriptonun hızına uyarlanmıştır.

Toz fark ettiğiniz an ne yapmalısınız

Tanımadığınız küçük bir token transferini fark etmek, ironik bir şekilde, faydalı bir erken uyarıdır. Beklenmedik her 0,00 $ alımını, bedava para olarak değil, olası bir saldırının devam ettiğinin işareti olarak değerlendirin.

Doğru tepki, sırasıyla şöyledir:

• Token ile etkileşime girmeyin. Onu swap etmeyin, göndermeyin ya da "temizlemeye" çalışmayın. Bazı saldırganlar, etkileşimde bulunulduğunda gizli bir onay tetikleyen kötü amaçlı sözleşme tokenleri kullanarak ilk dolandırıcılığın üzerine ikinci bir katman ekler.
• Kaynak adresi bir blok gezgininde bulun ve kendinizin daha önce ona para göndermediğini doğrulayın. Göndermediyseniz, onu kötü amaçlı olarak değerlendirin.
• Adresi cüzdanınızda gizleyin veya etiketleyin. Çoğu büyük cüzdan artık bir işleme sağ tıklayıp ya da uzun basıp not eklemenize izin verir. Zehirli kaydı açıkça etiketleyin ("GÖNDERME, SALDIRGAN") ki bir sonraki aramanızda görsel ipucu net olsun.
• İsteğe bağlı olarak, seçilebilir işlem listenizde hiç görünmemesi için küçük UTXO'yu gizleyin. Tam adımlar cüzdana bağlıdır. Phantom'da (Solana) bir tokeni gizli olarak işaretleyebilirsiniz. MetaMask'te saldırganın adresini manuel olarak "kullanma" olarak işaretlenmiş yerel bir adres defteri kaydına ekleyebilirsiniz. Sparrow, Electrum ve diğer Bitcoin cüzdanlarında, harcama için asla seçilmemesi için bir UTXO'yu dondurabilir ya da coin-control ile ayarlayabilirsiniz. Özellikle Bitcoin kullanıcıları coin control kullanmayı öğrenmelidir; tozu ayrı bir adrese gönderip etiketlemek en temiz çözümdür.
• Devamında bir işlem gelebileceğine karşı uyanık olun. Bazı saldırganlar toz gönderdikten sonra haftalarca bekler ve ardından adresi hafızanıza "pekiştirmek" için tasarlanmış, biraz daha büyük ikinci bir işlem gönderir. Benzer kalıplara sahip iki şüpheli alım görürseniz, saldırının aktif olduğunu varsayın.

Yine de, en önemli tek alışkanlık, geliştirilmesi en zor olanıdır: her işlemde, her seferinde, güvenilir bir ekranda tam hedef adresi doğrulayın.

Donanım cüzdanında tam adres nasıl doğrulanır

Yazılım cüzdanları size yalan söyleyebilir. Bunu kasıtlı olarak yapmasalar da, kötü amaçlı yazılım, tarayıcı eklentileri veya adresi yapıştırdığınız anda değiştiren pano ele geçirme yazılımları aracılığıyla bunu yapabilirler. Donanım cüzdanları, bilgisayarın değiştiremeyeceği küçük, özel bir ekranda adresi görüntülemeleri sayesinde en güçlü savunmadır. Bu ekran, sizin son savunma hattınızdır.

Disiplin, bilgisayarın ekranına asla güvenmemektir. Süreç şöyle işler:

• İşlemi yazılım cüzdanınızda başlatın (tarayıcı eklentisi, masaüstü uygulaması veya mobil uygulama).
• Donanım cüzdanının ekranında, cihaz hedef adresi görüntüleyecektir. Yalnızca ilk ve son birkaç karaktere değil, dizinin tamamını okuyun.
• Bilinen güvenilir bir kaynakla karakter karakter karşılaştırın. Bilinen bir muhataba yapılan ödemeler için bu, ödemeden önce size bant dışı (e-posta, imzalı PDF, sesli arama) gönderdikleri adres anlamına gelir; önceki işlem geçmişinde gösterilen adres değil.

Özellikle Ethereum için sağlama toplamlı adresi onaylayın. Gerçek bir Ethereum adresi, yerleşik bir sağlama toplamı işlevi gören karışık büyük/küçük harf yapısına sahiptir. Harf düzeni aniden farklı görünüyorsa (örneğin, tamamen küçük harf veya büyük harfler yanlış yerde), bu güçlü bir uyarı işaretidir.

• Bitcoin için adres biçimini doğrulayın. SegWit adresleri (bc1...) eski (1...) ve P2SH (3...) adreslerinden farklı davranır ve bunlar arasında dönüştürme yapmak bir saldırganın yaptığı değişikliği gizleyebilir.

Evet, bu yorucu bir iş. Evet, sıkılıp günün beşinci küçük ödemesi için bunu atlamak isteyeceksiniz. Bu sıkılma, saldırganın iş modelidir. Nasıl ki emniyet kemeri rahatsız edici ve yavaştır ama hayatınızı kurtarır, adres doğrulama da her işleme bindirilen küçük bir bedel olup felaket olanı önler.

Cüzdan ve borsa ekipleri bu konuda neler yapıyor

İyi haber şu ki, sektör artık bu sorunu görmezden gelmiyor. Kötü haber ise savunmaların cüzdanlar arasında eşit olmaması.

Bazı cüzdan sağlayıcıları artık bilinen zehirleme kalıplarını tespit ediyor ve kullanıcıyı imzalamadan önce uyarıyor. Örneğin MetaMask, kullanıcının geçmişte kendisine toz göndermiş bir adrese fon göndermek üzereyken uyarılar sunmaya başladı. Phantom, Solana üzerinde benzer uyarılar ekledi. Trezor ve Ledger, yalnızca donanım ekranında onaylama seçeneği de dahil olmak üzere cihazlarındaki adres doğrulama kullanıcı deneyimini iyileştirdi. Etherscan ve BscScan, topluluk tarafından işaretlenen adreslerde "Phishing" (Kimlik Avı) veya "Reported" (Bildirildi) etiketleri görüntülüyor.

Bunların hiçbiri mükemmel değil. Saldırganlar adresleri döndürdüğü için engel listeleri geriden gelir. Uyarılar göz ardı edilebilir. Donanım doğrulaması atlanabilir. Asıl çözüm kültüreldir: ortalama kullanıcının, adreslerin uzun olduğunu, birbirine benzeyen çakışmaların yaygın olduğunu ve emin olmanın tek yolunun dizinin tamamını okumak olduğunu içselleştirmesi gerekir. Bu, varsayılan bir alışkanlık haline gelene kadar, adres zehirleme kripto dünyasının en ucuz ve en etkili dolandırıcılık yöntemlerinden biri olmaya devam edecektir.

Adres zehirleme haberlerini akıllıca takip etmenin yolu

Adres zehirleme taktikleri hızla gelişiyor ve 2023'te işe yarayan kalıplar 2025'te çoktan farklı görünüyor. Saldırganlar yeni zincirleri test ediyor (Base, Arbitrum ve TON son dönemde dalgalar gördü), yeni token standartlarını ve ENS adlarındaki ve URL tarzı cüzdan adlarındaki adres eşleştirme gibi yeni hileleri deniyor. Tehdit ortamını manuel olarak takip etmek herhangi bir bireysel kullanıcı için kaybedilen bir oyun. Zippfeed, güvenlik manşetlerini ve zincir üstü olay raporlarını sentiment puanlaması (bullish, neutral veya bearish) ve önem derecelendirmesi ile birlikte sunar; böylece en son zehirleme kampanyalarını fark edebilir, şüpheli UTXO'ları dondurabilir ve gerçekten göndermeyi amaçladığınız bir sonraki adresi doğrulayabilirsiniz.