Kripto Phishing Saldırıları: Nasıl Çalışır ve Nasıl Durdurulur

Bir kripto kimlik avı saldırısı gerçekte nedir

Bir kripto kimlik avı saldırısı, kullanıcıyı bir blokzinciri işlemini imzalamaya, bir token kullanım izni vermeye ya da kurtarma ifadesini teslim etmeye ikna etmek için tasarlanmış bir sosyal mühendislik girişimidir. Saldırganın nadiren bir yazılım açığı bulması gerekir. İster Bitcoin, ister Ethereum, ister Solana üzerinde çalışsın, blokzincirinin kendisi tam olarak tasarlandığı gibi çalışır. Mağdur sadece tam olarak anlamadığı bir işlemi yetkilendirir.

Yeni başlayanların kafasını karıştıran kısım budur. Zincir güvenliyse ve cüzdan şifrelenmişse para nasıl kayboluyor? Dürüst cevap şu: kriptografi bir cüzdanın özel anahtarını korur, ancak bir kişiyi gönüllü olarak yanlış mesajı imzalamaktan koruyamaz. Kimlik avı, bir işlemin zincir üzerinde göründüğü ile gerçekte yaptığı şey arasındaki boşluktan yararlanır.

Kriptoda kimlik avı ayrıca alışılmadık şekilde kesindir. Bir banka hileli bir transferi geri alabilir. Bir blokzinciri, tasarımı gereği alamaz. Paranın merkezsizleştirilmesinin bütün amacı budur ve dolandırıcıların onu sevmesinin tam da nedenidir. Bir boşaltma işlemi onaylandıktan sonra fonlar saldırganın cüzdanına taşınır ve kurtarma, aşağı akışta var olup olmayabilecek merkezi hizmetlerin iyi niyetine bağlıdır.

Gerçek riskler: aslında ne yanlış gider

Kimlik avının nasıl çalıştığından bahsetmeden önce, tehlikede olan şey hakkında açık konuşmaya değer; çünkü başarısızlık biçimleri soyut değildir.

Cüzdanın tamamen boşaltılması. Başarılı bir imza, akıllı bir sözleşmenin cüzdanınızdaki yalnızca bir token'ı değil, her token'ı ve NFT'yi taşımasına yetki verebilir. Bu, en kötü senaryodur ve 2024 ile 2025'te en yaygın olandır. Mağdurlar sık sık portföylerini görmeyi bekleyerek giriş yapar ve imzalamadan dakikalar içinde boş bir cüzdan bulurlar.

Token'a özgü hırsızlık. Bazı onaylar tek bir ERC-20 token'ıyla sınırlıdır. Kullanıcı bakiyesinin çoğunu koruyabilir, ancak saldırganın hedeflediği belirli yüksek değerli varlığı, genellikle USDT veya USDC gibi bir stabilcoini ya da ETH veya SOL gibi popüler bir token'ı kaybedebilir.

Aynı onaydan tekrar eden hırsızlıklar. Yeni başlayanların kaçırdığı kısım budur. Bir onay tek seferlik bir olay değildir. Örneğin bir NFT koleksiyonunda setApprovalForAll'ı imzaladığınızda, saldırgan onay iptal edilene kadar bu onayı tekrar tekrar çağırabilir. Birçok mağdur, orijinal imzayı hiç iptal etmediği için ikinci kez boşaltılır.

Kurtarma ifadesinin ele geçirilmesi. Daha küçük ama daha yıkıcı bir kimlik avı kategorisi doğrudan kurtarma ifadesini hedef alır. Sahte cüzdan uygulamaları, sahte "destek" temsilcileri ve zararlı tarayıcı eklentileri, bir cüzdanı tamamen yedekleyen 12 veya 24 kelimeyi yakalayabilir. Bu kelimelerle saldırganın herhangi bir imzaya ihtiyacı yoktur. Cüzdanı kendi cihazında geri yükler ve içindekileri süpürür.

İtibar ve hesap güvenliğinin ihlali. Ethereum gibi zincirlerde, kötü niyetli bir mesajı imzalamak zincir üzerinde "Ben bir dolandırıcıyım" gibi bir ifade yayınlayabilir ya da saldırgana belirli uygulamalarda sizi taklit etme yetkisi veren bir token verebilir. Bunlar daha nadirdir, ancak imza istismarının ne kadar esnek olabileceğini gösterir.

Dürüst özet: kimlik avı, bireysel kripto kayıplarının en yaygın tek nedenidir ve kayıplar genellikle toplam ve geri döndürülemez niteliktedir. Niş bir tehdit değildir.

Modern bir kripto kimlik avı saldırısının anatomisi

Modern kripto kimlik avı bir ürün olarak satılıyor. Pink Drainer, Inferno Drainer ve Angel Drainer gibi drainer kitleri, dark-web forumlarında abonelik hizmeti olarak, panolar, müşteri desteği ve kâr paylaşım düzenlemeleriyle birlikte sunuluyor. Olası bir dolandırıcı için giriş engeli şaşırtıcı derecede düşük; bu yüzden saldırı hacmi sürekli artıyor.

Çeşitliliğe rağmen, kill chain tahmin edilebilir bir sıra izler. Her adımı anlamak, onu kırmanın tek güvenilir yoludur, çünkü saldırganlar imzalama anında kazanır ya da kaybeder.

Adım 1: yem

Her saldırı, sizin tıklamanız için bir sebep ile başlar. Mevcut döngüde en yaygın yemler şunlardır:

• Sahte airdroplar. Bir mesaj, gerçek bir projeden ücretsiz token dağıtımına hak kazandığınızı iddia eder. Bağlantı, projenin gerçek sitesiyle tıpatıp aynı görünen bir siteye götürür. Sahte airdrop siteleri ve drainer kitleri genellikle birlikte paketlenir; bu sayede tek bir kimlik avı kiti bir anda bir "claim" sayfası, bir token kontratı ve bir drainer oluşturabilir.
• Adres zehirlenmesi saldırıları. Tanıdığınız bir adrese kripto gönderirsiniz, ardından aynı karakterlerle başlayıp biten bir adresten küçük bir "dust" işlemi alırsınız. Saldırgan, daha büyük bir ödeme göndermek için adresi geçmişinizden kopyaladığınızda, zehirlenmiş olanı kopyalamanızı umar. Zincirin kendisi tehlikeye girmemiştir; kendi işlem geçmişiniz silah olarak kullanılır.

• Zararlı tarayıcı eklentileri. Cüzdan yardımcıları, MEV koruyucuları ya da fiyat takipçileri gibi görünen eklentiler, ziyaret ettiğiniz sayfalardaki her şeyi okuyabilir. Bir cüzdan bağladığınızda, eklenti işlem verilerini imzalamadan önce uçta değiştirebilir; hedef adresi ya da onayladığınız kontratı değiştirebilir.
• Ele geçirilmiş Discord, Telegram ya da X hesapları. Gerçek projeler de hacklenir. Bir projenin resmi hesabı "airdrop'unuzu alın" bağlantısı paylaştığında, dikkatli kullanıcılar bile tıklar. Bağlantı gerçektir, gönderi gerçektir, site ise sahtedir.
• Arama motoru reklamları. Saldırganlar "Uniswap giriş" ya da "MetaMask destek" gibi sorgular için reklam satın alır. Reklam, gerçek sonucun üstünde Google'da en üstte oturur. Reklamdaki bağlantı, taklit bir alan adına yönlendirir.

Adım 2: taklit site

Yem, sizi gerçek bir siteyle görsel olarak aynı olan bir web sitesine götürür. Tek fark alan adıdır ve hızlı bir bakışla kandırmak için tasarlanmıştır. uniswаp.org Cyrillic "a" kullanır. metamask-io.com bir tire ve bir ek ekler. Sayfa sizi bir cüzdan bağlamaya yönlendirir; bu, her meşru dApp'in yaptığı şey olduğu için normal hissettirir.

Bu aşamada henüz hiçbir fon hareket etmemiştir. Cüzdanınız henüz tehlikeye girmemiştir. Saldırgan sadece önünüze sahte bir kapı koymuştur. İçinden geçip geçmemeniz, bundan sonra ne olacağına bağlıdır.

Adım 3: imza isteği, kill chain'in yaşadığı yer

Her şeyin karar verildiği an budur. Bir cüzdanı bir siteye bağlamak fonları hareket ettirmez. Fonları hareket ettiren şey, bir işlemi ya da mesajı imzalamaktır. Drainerlar, bu imzayı rutin gösterecek şekilde tasarlanmıştır; böylece kullanıcı düşünmeden imzalar.

2024 ve 2025'te en çok suistimal edilen imza türleri şunlardır:

• permit ve permit2. Bir kontratın, siz başka bir işlem imzalamadan cüzdanınızdan belirli bir tokeni daha sonra çekmesine izin veren, zincir dışı bir imza. Cüzdan arayüzü bunu genellikle "gasless approval" olarak gösterir ve teknik detayları gizler. İmza süresiz olarak geçerlidir ve iptal edilmesi zordur.
• ERC-721 ya da ERC-1155 üzerinde setApprovalForAll. Bu, bir kontrata cüzdanınızdaki bir koleksiyondaki tüm NFT'leri taşıma izni verir. Cüzdan arayüzü bunu genellikle sade bir şekilde açıklar, ancak çoğu kullanıcı setApprovalForAll'ın ne anlama geldiğini bilmez ve saldırganlar buna güvenir.
• ERC-20 tokenlerinde increaseAllowance. Klasik "sonsuz onay." Bir kez imzalarsınız ve kötü niyetli bir kontrat, gelecekte herhangi bir zamanda o spesifik tokeni cüzdanınızdan drainerlayabilir.
• eth_sign ve personal_sign. Boş bir imza isteği. Cüzdan, insanların okuyabileceği bir uyarı gösterir, ancak kullanıcıdan bir hash imzalaması istenir. İmzalanan mesaj, zincire ve cüzdan sürümüne bağlı olarak bazen bir işlem gibi yeniden oynatılabilir.

Bu, gördüğünü-imzala (ya da görmediğini-imzala) sorunudur. Cüzdan arayüzleri gelişti, ancak hâlâ bir akıllı kontrat çağrısını tam anlamıyla düz İngilizceye çeviremiyorlar. "X koleksiyonundaki tüm tokenlar için Y adresine onay ver" diyen bir istek teknik olarak doğrudur. Aynı zamanda tam olarak bir saldırganın ihtiyaç duyduğu şeydir. Yöntem adını, harcama yapan adresi ve çağrılan kontratı okuma alışkanlığı, bir kullanıcının geliştirebileceği en faydalı savunmadır.

Adım 4: drain

Kötü niyetli imza alındıktan sonra, saldırgan onaylanan fonksiyonu çağırır. Tek bir blok içinde, cüzdanın içeriği saldırganın adresine taşınır. Kurban, giden işlemi onaylanmadan önce görmeyebilir bile. Solana gibi işlemlerin birçok eylemi paketleyebildiği zincirlerde, drain, basit bir "claim" gibi görünen tek bir imzayla cüzdanı süpürebilir.

Drain sonrasında, saldırgan genellikle fonları bir mikserden ya da çapraz zincir köprüsünden geçirir, ardından KYC'siz bir borsaya yönlendirir ve iz soğur. Düzenlenmiş bir borsaya değen bazı fonlar dondurulsa da çoğu dondurulmaz. Bu yüzden önleme tüm oyunun kendisidir.

Kimlik avı neden deneyimli kullanıcılarda bile bu kadar iyi işliyor

Kriptoda kimlik avının başarılı olmaya devam etmesinin nedeni, kullanıcıların dikkatsiz olması değil. Savunmalar gerçekten zor.

Görsel aldatma kolaydır. Gerçek bir sitenin mükemmel bir klonu, bir dolandırıcıya birkaç yüz dolara mal olur. Asimetri acımasızdır: kullanıcının %100 süreyle uyanık olması gerekir, saldırganın ise sadece bir kez kazanması yeterlidir.

Cüzdan arayüzü, banka ekstresiyle aynı şey değildir. Bir işlem imzaladığınızda, genellikle bir yöntem adı, bir gas tahmini ve bir hex veri alanı görürsünüz. Hex verisi, aslında neye yetki verdiğinizi açıklayan kısımdır ve neredeyse kimse onu okumaz. Cüzdan size imzalamaya yetecek kadarını gösterir, anlamaya yetecek kadarını değil.

Adresler insanların okuyabileceği gibi değil. Bir Ethereum ya da Solana adresi, uzun bir hex karakter ya da base58 gürültü dizisidir. Adres zehirlenmesi saldırıları tam olarak bu yüzden işe yarar; kimse ortasında bir karakter farklılıkla iki adresi görsel olarak ayırt edemez.

Sosyal bağlam istismar ediliyor. Kimlik avı genellikle gerçek bir sohbetin, gerçek bir Discord'un, ele geçirilmiş gerçek bir arkadaş hesabının içinde gelir. Güven ödünç alınmıştır.

FOMO ve aciliyet. "Önümüzdeki 2 saat içinde talep edin ya da tahsisiniz gider" klasik bir baskı taktiğidir. Kripto kullanıcıları üzerinde işe yarar çünkü airdrop son tarihleri gerçektir ve kas hafızası hızlı hareket etmektir.

Çözüm, dolandırıcıdan daha zeki olmak değil. Çözüm, iyi bir gün geçirmenize bağlı olmayan alışkanlıklar tasarlamaktır.

Kendinizi alışkanlık alışkanlık nasıl savunursunuz

Aşağıda, bir arada, kill chain'i birden çok noktada kıran bir dizi alışkanlık bulunuyor. Hiçbiri özel araç ya da uzmanlık gerektirmez.

Tıklamadan önce URL'yi doğrulayın, imzalamadan önce tekrar doğrulayın

Projenin URL'sini kendiniz yazın ya da bir yer iminden ulaşın. Bir DM'deki, reklamdaki ya da arama sonucundaki bağlantıya, sayfa tıpatıp aynı görünse bile güvenmeyin. Bağlantının metnine değil, tarayıcınızın adres çubuğundaki alan adına bakın. Herhangi bir şüpheniz varsa, sayfadan uzaklaşın ve URL'yi sıfırdan yeniden girin.

Sadece cüzdan istemine değil, imzayı da okuyun

Çoğu modern cüzdan size kontrat adresini, çağrılan fonksiyonu ve bazen çözümlenmiş bir sürümü gösterir. Bunu, imzalamadan önce bir kontratı okur gibi değerlendirin. Fonksiyon, tanımadığınız bir kontrat üzerinde setApprovalForAll, permit ya da increaseAllowance ise, imzalamayın. Cüzdan genel bir "Sign In With Ethereum" ya da boş bir hash gösteriyorsa, yavaşlayın.

Ayrı bir "sıcak" cüzdan ve bir "soğuk" kasa kullanın

ETH, SOL ya da BTC'nizin büyük kısmını dApp'lere hiç bağlanmayan bir cüzdanda tutun. Alım-satım, airdroplar ve DeFi için daha küçük bakiyeli ikinci bir cüzdan kullanın. Sıcak cüzdan drainerlansa, kayıp sınırlanmış olur. Bu, kimlik avına karşı tek en etkili yapısal savunmadır.

Eski onayları periyodik olarak iptal edin

Onaylar varsayılan olarak süresi dolmaz. revoke.cash ve Etherscan'ın approval inspector gibi araçlar, eski token ve NFT izinlerinizi görmenize ve iptal etmenize olanak tanır. İptal etmek küçük bir gas maliyeti ve tek seferlik bir temizliktir. Üç aylık bir gözden geçirme makul bir ritimdir.

Adres zehirlenmesine dikkat edin

Alıcı adresini asla işlem geçmişinizden kopyalamayın. Her zaman kaynaktan kopyalayın, ideal olarak bir QR kodu tarayarak ya da bilinen kişileri etiketleyen bir cüzdan özelliği kullanarak. Tanımadığınız biri size sebepsiz yere küçük bir miktar ETH ya da SOL gönderirse, görmezden gelin. Adresle etkileşime girmeyin. Neredeyse kesinlikle bir zehirdir.

Tarayıcı eklentilerinizi denetleyin

Etkin olarak kullanmadığınız eklentileri kaldırın. Tarayıcı eklentileri, ziyaret ettiğiniz sayfalara tam erişime sahiptir ve kötü niyetli olanlar, cüzdanınızın imzalamak üzere olduğu verileri değiştirebilir. Bir cüzdana ihtiyacınız varsa, üçüncü taraf bir "yardımcı" değil, cüzdanın kendi sitesinden resmi uzantıyı kullanın.

Seed ifrenizi hiçbir yere girmeyin

Hiçbir meşru cüzdan, dApp ya da destek temsilcisi seed ifrenizi asla sormaz. Soran herkes sizi saldırıyor, başka bir şey değil. Bu, istisnası olmayan tek kuraldır.

Zaten şüpheli bir şey imzaladıysanız ne yapmalısınız

Güvenmediğiniz bir kontrat üzerinde bir permit, approval ya da setApprovalForAll imzaladıysanız, hasar henüz kesin olarak gerçekleşmiş değil. Saldırganın kontratının fonları gerçekten taşımak için çağrılması gerekir ve bu gerçekleşmeden önce genellikle bir pencere vardır.

İlk adım, onayı hemen revoke.cash ya da benzer bir araçla iptal etmektir. İkinci adım, tehlikeye girmiş cüzdandaki değerli varlıkları, kötü niyetli siteye hiç dokunmamış yeni bir cüzdana taşımaktır. Hız önemlidir, çünkü otomatik drainerlar genellikle yeni onayları izleyen botlar üzerinde çalışır.

Zaten drainerldıysanız, fonlar zincir üzerinde neredeyse kesin olarak kurtarılamaz. Yapabileceğiniz şey, olayı kolluk kuvvetlerine bildirmek, saldırganın adresini blok gezgini etiketleme servisleriyle paylaşmak ve aşağı akışta olabilecek merkezi borsaları bilgilendirmektir. Bu küçük bir tesellidir, ancak tek dürüst olanıdır.

Utanmaya gerek yok. Drainer kitleri profesyonel suç ekipleri tarafından tasarlanıyor ve deneyimli kullanıcıları bile yakalıyor. Doğru tepki, yukarıdaki alışkanlıkları öğrenmek ve bir sonraki hatanın küçük olacağı şekilde düzeninizi tasarlamaktır.

Phishing tehditlerini akıllıca takip etmenin yolu

Phishing taktikleri her çeyrekte değişiyor. Yeni drainer kitleri ortaya çıkıyor, yeni yem formatları viral oluyor ve eski numaralar yeni bir kılıfla yeniden sahneye dönüyor. Hangi dolandırıcılıkların aktif olduğunu ve hangi kontratların kötü amaçlı olarak bildirildiğini manuel olarak takip etmek gerçekten emek isteyen bir iş. Zippfeed, kripto phishing saldırısı haberlerini, güvenlik uyarılarını ve topluluk uyarılarını duygu puanlaması, bullish, neutral ya da bearish, ve bir önem derecelendirmesiyle birlikte sunar; böylece yeni tehditler cüzdanınıza ulaşmadan onları fark edebilirsiniz. Bu akışı yukarıdaki alışkanlıklarla birleştirdiğinizde, hazırlıksız yakalanması çok daha zor bir savunma elde edersiniz.