Yarım milyar dolarlık kripto soygunu

PDF içerisinde bir casus yazılım kullanılarak gerçekleştirilen büyük bir kripto para hırsızlığını inceliyoruz.

İnsanlara tonla para vadeden, oysa gerçekte tam tersine ceplerini boşaltan dolandırıcılıklar hakkında sık sık yazıyoruz. Siber suçlular benzer şekilde çalışanların açgözlülüğünden veya ihmalinden faydalanarak koskoca şirketlerin parasını da çalabiliyor.

Axie Infinity adlı oynadıkça kazan oyunu için Sky Mavis tarafından yaratılan Ronin Networks blok zinciri sisteminin başına gelen de tam olarak bu. Bir Sky Mavis çalışanının içinde casus yazılım gizli bir PDF dosyası indirmesi, gelmiş geçmiş en büyük kripto para hırsızlıklarından biriyle sonuçlandı. Şirket 173 600 ETH ve 25,5 milyon USDC kaybetti (olay gerçekleştiği sırada bunlar yaklaşık 540 milyon USD değerindeydi). Saldırıyı ayrıntılarıyla tartışıyor ve kendinizi nasıl koruyabileceğinize dair ipuçları paylaşıyoruz.

Kısaca Axie Infinity ve Ronin Networks

Axie Infinity, oyuncularn “yetiştirilebilen,” yarışmalarda kullanılabilen ve diğer oyunculara satılabilen “axie” adlı fantastik yaratıkların yardımıyla kripto para kazanabildiği çevrimiçi vir video oyunu. Oyuncuların sevimli hayvanlar olarak gördüğü axie’ler aslında özünde birer değiştirilemez token (NFT).

2018’de yayınlanan Axie Infinity kısa sürede geniş bir oyuncu kitlesi kazandı. Zirvede olduğu dönemde oyuncular o kadar çok para kazanabiliyordu ki Güneydoğu Asya’da bazı insanlar için tam zamanlı bir işe dönüştü. Rekor kırdığı Kasım 2021’de oyunun günlük oyuncu sayısı 2,7 milyondu, kazancı ise geçtiğimiz sene haftada 215 milyon USD’ye ulaştı (ancak 2022 yazına gelindiğinde haftada yalnızca 1 milyon USD’ye kadar düştü).

Axie Infinity ekosisteminde ödemeler Ethereum blok zinciri tabanlı oyun içi para birimi Smooth Love Potion (SLP) ile yapılıyor. Geliştiriciler oyuncuların normal kripto parayla rahatça ve yüksek ücretler ödemeden SLP alıp satabilmesi için Ronin platformunu yarattı. Siber suçluların ilgisini çeken de bu platform oldu.

Reddedilemeyecek bir teklif: Dolandırıcılar geliştiricileri nasıl kandırdı

Saldırganlar platforma ulaşabilmek için Sky Mavis çalışanlarına hedefli bir saldırı düzenledi. Şirket hakkında bilgi topladıktan sonra çok cazip maaşlı sahte bir iş teklifine dayanan bir plan kurdular.

Plan, aslında bu tuzağa düşmemesi gereken üst düzey bir mühendise (büyük olasılıkla LinkedIn üstünden) çekici bir iş teklifi gönderilmesiyle başlıyordu. Beklendiği üzere tüm “seçme aşamalarını” büyük başarıyla geçen çalışan, iştah kabartan teklifi PDF dosyası formatında aldı. Dosya indirildiğinde içindeki casus yazılım şirket ağına salınmış oldu.

Casus yazılım iş başında: Fonların çekilmesi

Siber suçlular kötü amaçlı yazılımlar kullanarak ağ doğrulayıcıların, yani kripto para işlemlerini doğrulayan ve onaylayan düğümlerin özel anahtarlarına erişim elde etti. Saldırı sırasında Ronin Networks’de bu şekilde dokuz doğrulayıcı vardı ve işlemin gerçekleşebilmesi için bunlardan en az beşinin işlemi onaylaması gerekiyordu. Nihayetinde saldırganlar şirket bünyesindeki dört doğrulayıcının ve merkezi olmayan otonom Axie DAO kuruluşundaki beşinci bir doğrulayıcının güvenliğini ihlal etmeyi başardı. Sky Mavis’in ihmali olmasaydı bu beşinci doğrulayıcının burada olmaması gerekiyordu.

Şirket Kasım 2021’de yüksek işlem hacmi ve doğrulayıcılardaki yük yüzünden Axie DAO’nun transferleri onaylamasına izin vermişti. Bir ay sonra yük azaldı. Artık Axie DAO’nun yardımına ihtiyaç kalmamıştı ama işlem onaylama hakları geri çekilmedi, bu da siber suçluların ekmeğine yağ sürdü. Sky Mavis sistemine sızan hacker’lar Axie DAO’ya da erişim kazandı, bu da onlara başkalarının hesaplarındaki fonları kendi hesaplarına geçirmek için gereken beşinci doğrulayıcıya erişim sağladı.

Sky Mavis’in yanıtı

Sky Mavis saldırıyı keşfedince sorumlu davranarak güvenliği arttırmaya yönelik adımlar attı. Şirket, Verichains ve CertiK’den güvenlik uzmanları getirerek Ronin Networks’de detaylı bir inceleme yürüttü. Sky Mavis ayrıca doğrulayıcı sayısını 11’e yükseltti ve kademeli olarak en az 100’e çıkaracağına da söz verdi. Toplam doğrulayıcı sayısı ne kadar fazla olursa yetkisiz işlem gerçekleştirmek için güvenliği ihlal edilmesi gereken doğrulayıcı sayısı da o kadar artıyor. Dolayısıyla sayıyı arttırmanın teoride bu tür saldırıları daha zor hale getirmesi gerekiyor.

Çalınan fonlar esasında Axie Infinity oyuncularına ait olduğu için Sky Mavis 28 Haziran’da tazminat ödemelerine başladı. Şirket bunun için hem kendi kaynaklarından hem de Nisan başında aldığı 150 milyon USD’lik Binance fonundan yararlandı.

Kendinizi korumanın yolları

Siber suçlular hedefli bir saldırı planlarken kurbanlarının zayıf noktalarını dikkatle inceler. Bu zayıf noktalar hem cihazlar ve yazılımlardaki güvenlik açıkları hem de insan faktörü olabilir. Hikayemizin “kahramanı” deneyimli bir BT uzmanıydı, fakat o bile kandırıldı. Benzer bir duruma düşmemek ve verilerinize, paranıza ve token’larınıza sahip çıkmak için uyanık olun ve güvenlik önlemlerini ihmal etmeyin.

  • İster hayallerinizdeki yüksek maaşlı iş ister bir ödül, uzak bir akrabadan kalan miras ya da başka bir bulunmaz nimet olsun, beklenmedik cömert tekliflere güvenmeyin.
  • Tanımadığınız göndericilerden gelen e-posta ve mesajlardaki dosyaları indirmekten veya bağlantılara tıklamaktan kaçının. Hele ki ofis ağındaysanız ve gelen dosyalar veya bağlantılar işle ilgili değilse.
  • Cihazınızda kötü amaçlı yazılım yürütülmesini önleyecek güvenilir bir güvenlik çözümükullanın.
İpuçları