Popüler Altcoin, Kritik Hack ile Karşı Karşıya: Uyarı Yapıldı!

Popüler Altcoin, Kritik Hack ile Karşı Karşıya: Uyarı Yapıldı!

Popüler altcoin 1INCH’in gerisindeki 1inch’in internet sitesi, kripto sanayisinde güvenlik açısından değerli bir tehditle karşı karşıya kaldı. Merkeziyetsiz borsa toplayıcısı 1inch’in web sitesi, çok sayıda öbür platformla birlikte Lottie Player isimli animasyon kütüphanesindeki güvenlik açığından etkilendi. Uzmanlar, siber saldırganların, bilhassa merkeziyetsiz uygulamalar (dApp) ve kimi kripto dışı sitelerde yaygın olarak kullanılan bu kütüphaneye makûs niyetli kod enjekte ettiğini belirtti.

1inch ve CİLT Finance’te saldırı

X (eski ismiyle Twitter) üzerinden yapılan birçok paylaşım, 1inch ve CİLT Finance üzere kripto platformlarının bu akının kurbanı olduğunu doğruluyor. Lakin, uzmanlar bu cins hücuma uğrayan platform sayısının daha yüksek olabileceğini öngörüyor. Lottie Player’ın 2.0.5 ve üzeri sürümlerini maksat alan bu berbat gayeli yazılım, kullanıcılara ilişkin bilgileri ve varlıkları tehdit eden yetkisiz süreçler yapabilme potansiyeline sahip. Bu yüzden, kullanıcılar cüzdanlarını bu platformlara bağlamaktan kaçınmaları istikametinde uyarılmakta

Saldırganların, Lottie Player’ın ön uç JSON evraklarına yerleştirdikleri kodla, ilgili sitelerde makûs niyetli süreçler gerçekleştirmeyi mümkün hale getirdiği bildiriliyor. Bilhassa, Lottie Player’in içeriğinin dağıtıldığı sunucuda yer alan npm paketi aracılığıyla yayılan bu kod, birçok güvenlik firması tarafından onaylanmış durumda. Blockaid isimli güvenlik firması tarafından yapılan açıklamada, yasal sitelerin şu anda berbat niyetli içerik sağladığı ve saldırganların yeni bir versiyonun yüklendiğini belirttiği görülüyor.

1inch’ten resmi açıklama geldi

X platformunda yapılan birçok paylaşıma nazaran, altcoin 1inch ve DERİ Finance bu akının doğrulanmış kurbanları ortasında yer alıyor. Lakin Lottie Player kütüphanesinin 2.0.5 ve üstü sürümlerini maksat alan bu akının daha fazla siteyi etkileyebileceği kestirim ediliyor. Bu durum, çok sayıda kullanıcının varlıklarını tehlikeye atan bir dizi güvenlik ihlaline yol açtı ve tedbirlerin yetersiz kaldığı alanları bir sefer daha gözler önüne serdi. Hususa dair resmi bir açıklama yapan 1inch takımı, akının 30 Ekim günü meydana geldiğini belirtti. Yapılan açıklamaya nazaran sırf 1inch web sitesi etkilenirken, öbür platformlar ve araçlar bu hücumdan etkilenmedi. 1inch takımı şu bilgileri paylaştı:

30 Ekim, 21:12 – 23:22 saatleri ​​arasında, 1inch dApp kullanıcıları makus hedefli bir cüzdan teması ve imza isteğiyle karşılaşmış olabilir. Bu imza, saldırganın kullanıcının parasını boşaltmasına imkan tanır. Lakin yalnızca 1inch web dApp etkilenmiştir; 1inch Cüzdan, API ve protokoller hiçbir vakit tehlikeye atılmamıştır.

Ayrıca 1inch takımı, kullanıcıların inancını sağlamak ismine akından etkilenmiş tüm cüzdanlara kayıpları doğrultusunda geri ödeme yapacaklarını duyurdu. Kullanıcıları bilgilendiren grup, ziyana uğrayan hesapların makus maksatlı adreslere yönelik erişimi kesmeleri için çeşitli tekliflerde bulundu. Açıklamaya nazaran kullanıcılar, berbat niyetli adreslerden ERC20 onaylarını iptal etmek için revoke.cash sitesini kullanabilir ve daha fazla dayanak için dApp üzerinden müşteri takviye grubuna ya da [email protected] adresine ulaşabilirler.

Bitcoin ve altcoin alanında hack olayları büyüyor

Kripto para dünyasında güvenlik açıkları son yıllarda büyük bir sorun haline geldi ve her yıl bu şekil berbat niyetli faaliyetlerin sayısı artıyor. En son olarak ABD hükümetinden yaklaşık 20 milyon dolar kıymetinde kripto para çalınması, bu kesimdeki risklerin ne kadar büyük olduğunu gözler önüne seriyor. Bu fonların, daha evvel Bitfinex hücumunda ele geçirilen 3.6 milyar dolarlık varlıkların bir kesimi olduğu belirtiliyor. Blockchain borç vereni Radiant Capital de bu yılın en büyük ataklarından birine uğrayarak 50 milyon dolardan fazla kayba uğradı.

ABD hükümeti ise bu hataların soruşturma ve kovuşturma sürecini ağırlaştırarak tedbir almaya çalışıyor. Son olarak SEC’in X (eski ismiyle Twitter) hesabını hackleyen 25 yaşındaki Eric Council Jr. isimli bir Alabama sakini FBI tarafından tutuklandı. Council’in SEC hesabına girerek Bitcoin ETF onayıyla ilgili yanlış bilgiler paylaştığı ve bu hareketin piyasalarda önemli dalgalanmalara yol açtığı biliniyor. Fakat yetkililer, Council’in bu operasyonun asıl beyni olmadığına inanıyor ve onunla bir muahedeye varmaya çalışıyor. 2024 yılında kripto para akınlarından kaynaklanan kayıplar şimdiden 2.1 milyar doları aşmış durumda ve bu hücumlardan en çok merkezi finans (CeFi) platformları etkileniyor.  

Kaynak: Kripto Koin