Kripto Tüccarı, Adres Zehirleme Dolandırıcılığına 50 Milyon Dolar USDT Kaptırdı

Adres Zehirlemenin Mekaniği

Bir kripto para traderı, 20 Aralık’ta yapılan tek bir işlemin ardından yaklaşık 50 milyon dolar kaybettikten sonra karmaşık bir “adres zehirleme” saldırısına kurban gitti. 49.999.950 USDT’nin doğrudan dolandırıcının cüzdanına aktarılmasıyla sonuçlanan olay, yüksek teknoloji hırsızlarının temel insani alışkanlıkları ve kullanıcı arayüzü sınırlamalarından faydalandığı büyüyen bir güvenlik krizini vurguluyor.

Onchain araştırmacısı Specter‘a göre, bir borsadan kişisel cüzdanına fon aktarmaya çalışan kurban, başlangıçta 50 USDT’lik bir test işlemi yaparak gerçek adresine gönderdi. Bu, saldırgan tarafından tespit edildi ve hemen kurbanın gerçek cüzdanının ilk ve son dört karakterine uyan “sahte” bir özel adres oluşturuldu.

Daha fazlasını okuyun: 2025’te Kripto Dolandırıcılıkları: Nasıl Tespit Edilir ve Kendinizi Nasıl Korursunuz

Saldırgan daha sonra bu sahte adresten kurbana önemsiz miktarda kripto göndererek kullanıcının işlem geçmişini etkili bir şekilde “zehirledi”. X’te yapılan bir tartışmada Specter, bir traderın “böylesine büyük bir kaybın en az olası nedenlerinden biri” yüzünden fon kaybetmesine üzüldüğünü belirtti. Kurbana üzüntülerini dile getiren araştırmacı ZachXBT’ye cevap veren Specter şöyle söyledi:

“Tam olarak bu yüzden şaşkına dönmüştüm, basit bir hata yüzünden bu kadar büyük bir miktarın kaybedilmesi. Doğru kaynaktan adresi kopyalayıp yapıştırmak yerine işlem geçmişinden kopyalamak sadece birkaç saniye sürerdi ve her şey önlenebilirdi. Noel mahvoldu.”

Arayüz Zayıflığı: Elipsler ve İnsan Hatası

Çoğu modern kripto cüzdanı ve blok gezginleri uzun alfasayısal dizeleri elips kullanarak kısalttığından (örneğin, 0xBAF4…F8B5), sahte adres ilk bakışta kurbanınkine özdeş görünüyordu. Bu nedenle, kurban kalan 49.999.950 USDT’yi aktarmaya devam ettiğinde, yaygın bir uygulama olarak alıcının adresini son işlem geçmişinden kopyaladı.

Zehirleme saldırısından 30 dakika sonra, neredeyse 50 milyon USDT, sabit para DAI ile takas edildi, ardından yaklaşık 16.690 ETH’ye dönüştürüldü ve Tornado Cash aracılığıyla yönlendirildi. Olanları fark eden çaresiz kurban, saldırgana zincir üzerinde bir mesaj göndererek fonların %98’ini iade etmesi için 1 milyon dolarlık bir beyaz şapkalı ödül teklif etti. 21 Aralık itibariyle varlıklar geri alınmamıştır.

Güvenlik uzmanları, kripto varlıklarının yeni zirvelere ulaşmasıyla birlikte, bu tür düşük teknoloji, yüksek kazançlı “zehirleme” dolandırıcılıklarının daha yaygın hale geldiği konusunda uyarıyor. Benzer durumlarla karşılaşmamak için sahiplerin her zaman alıcı adresini doğrudan cüzdanın “Al” sekmesinden almaları gerektiği belirtiliyor.

Kullanıcılar, manuel giriş hatalarını önlemek için güvenilen adresleri cüzdanlarında beyaz listeye almalıdır. Ayrıca, tam hedef adresin fiziksel teyidini gerektiren cihazlar kullanmaları, kritik bir ikinci inceleme katmanı sağlamaları açısından değerlendirilebilir.

SSS 💡

• 20 Aralık saldırısında ne oldu? Bir trader adres zehirleme dolandırıcılığında neredeyse 50M USDT kaybetti.
• Dolandırıcılık nasıl gerçekleşti? Saldırganlar, kısaltılmış biçimde aynı görünen bir cüzdan adresi taklit ettiler.
• Çalınan kripto nereye taşındı? Fonlar DAI üzerinden aklandı, ETH’ye çevrildi ve Tornado Cash aracılığıyla aktarıldı.
• Tüccarlar kendilerini nasıl koruyabilir? Her zaman adresleri cüzdanın “Al” sekmesinden kopyalayın ve güvenilir hesapları beyaz listeye alın.