Anasayfa
Canlı Borsa
Borsa
Döviz Kurları
Altın
Hisse Senetleri
Endeksler
Kripto Paralar
Döviz Hesaplama
Döviz Çevirici
Kredi Arama
kriptohavadis
Çarşamba günü, AI odaklı bir platform olan Virtuals Protokolü büyük bir güvenlik ihlali yaşadı ve Discord sunucusunu yetkisiz erişime ve kimlik avı saldırılarına maruz bıraktı.
Bilgisayar korsanları, Virtuals Protokolü’nün Discord sunucusunun güvenliğini ihlal ederken, resmi web sitesini taklit eden kimlik avı bağlantıları Google Arama’da ortaya çıktı.
Bu olay, platformun denetlenen akıllı sözleşmesindeki kritik bir kusuru çözmesinden birkaç gün sonra meydana geldi.
Bilgisayar Korsanları Virtuals Protokolünün Discord Sunucusunu Nasıl Sömürdü?
Virtuals ekibi, ihlalin Discord moderatörlerinden birine ait özel anahtarın ele geçirilmesinden sonra meydana geldiğini bildirdi.
Bu, saldırganlara mesajlaşma platformuna yetkisiz erişim sağladı. Sorun, sunucunun Virtuals ekibi tarafından güvenliğinin sağlanmasıyla çözüldü.
Discord ihlaline ek olarak siber güvenlik firması Scam Sniffer, Google Arama’da Virtuals Protokol web sitesini taklit eden üç kötü amaçlı bağlantı tespit etti.
Kullanıcılar bu bağlantılarla etkileşime girmekten kaçınmaları konusunda uyarıldı ve tıklamadan önce resmi URL’leri doğrulamaları istendi.
Bu arada Virtuals Protokolü bu ayın başlarında bir başka önemli güvenlik sorununu ele aldı.
3 Ocak’ta, güvenlik araştırmacısı @lj1nu’nun platformun Uniswap V2’deki token başlatma mekanizmasındaki kusuru tespit etmesinden sonra ekip, denetlenen akıllı sözleşmedeki bir güvenlik açığını düzeltti.
Güvenlik açığı, belirteç adreslerini öngörülebilir hale getirmek için Clones kitaplığını kullanan AgentToken oluşturma sürecinden kaynaklanıyor.
Bu öngörülebilirlik, AgentFactoryV3 sözleşmesinin tek seferlik olmasından kaynaklandı. Ek olarak, AgentToken’daki başlatma işlevi, bir Uniswap çiftinin zaten var olup olmadığını kontrol edemedi, bu da işlemin geri alınması ve kötüye kullanılması riskiyle karşı karşıya kaldı.
@lj1nu, Tenderly kavram kanıtını kullanarak istismar riskini gösterdi. X’teki kusuru kamuya açıkladıktan sonra Virtuals Protokolü sorunu doğruladı ve yama yaptı.
Düzeltme, benzer kusurları önlemek için ek doğrulama adımları içerir. Ekip, başlangıçtaki yanlış iletişimden dolayı özür diledi, düzeltmeyi BaseScan ve GitHub’da yayınladı ve hata ödül programını yeniden başlattı.
Kimlik Avı Dolandırıcılıkları ve Özel Anahtar İhlalleri, 2024 Kripto Güvenliği Tehditlerine Hakim Oluyor
Kimlik avı dolandırıcılıkları ve özel anahtar ihlalleri, blockchain ve kripto para birimi kullanıcıları için büyük endişe kaynağı olmaya devam ediyor.
CertiK’in Web3 güvenlik raporuna göre, kimlik avı dolandırıcılıkları 2024 yılındaki 296 olayda 1 milyar dolardan fazla kayba neden oldu ve yılın en maliyetli saldırı vektörü olma statülerini pekiştirdi.
- Kimlik avı olayları:296 olayda 1 milyar dolarlık kayıp.
- Özel anahtar ihlalleri:65 olayda 855 milyon dolar zarar.
Mayıs ayında özellikle dikkate değer bir vakada, bir tüccarın adres zehirlenmesi dolandırıcılığı nedeniyle 68 milyon dolar kaybettiği görüldü. Ancak saldırgan, muhtemelen güvenlik firmalarının baskısından dolayı parayı 10 gün sonra iade etti.
Özel anahtar ihlalleri ikinci en büyük tehdit olarak sıralanıyor ve önemli mali kayıplara neden oluyor. CertiK, kimlik avı taktiklerinin 2025 yılında yapay zekadaki ilerlemelerden etkilenerek gelişebileceği konusunda uyardı.
Tehditlere rağmen genel kripto korsanlığı kayıpları, 3,5 milyar doların çalındığı 2022 yılına kıyasla %52 azaldı.
Ancak Cyvers’a göre, hacklemelerin sektöre maliyeti 2024’te hala 2,3 milyar dolara mal oldu; bu, 2023’te çalınan 1,69 milyar dolara göre %40 artış anlamına geliyor.
