Check Point, özellikle popüler kripto para birimi Ethereum’un CREATE2 işlem kodunu kötüye kullanan saldırıların arttığına dikkat çekerek bunu, kurbanların cüzdanlarından milyonlarca dolar değerinde varlığın boşaltıldığı “blockchain topluluğunda kritik bir sorun” olarak nitelendiriyor.
2019’da tanıtılan CREATE2, Ethereum için önemli bir gelişme olarak görülüyor ve akıllı sözleşmelerin (blok zincirdeki işlemleri doğrulayan teknoloji) daha verimli şekilde konuşlandırılmasına olanak tanıyor.
CREATE2 aynı zamanda saldırganlar tarafından kurbanların cüzdanlarındaki tokenleri boşaltmak için kullanılan bir işlevdir.
Temel yeteneklerinden biri, akıllı sözleşmeleri önceden belirlenmiş adreslere dağıtabilmek ve böylece merkezi olmayan uygulamalar ekosistemindeki çoklu sözleşme etkileşimleriyle uğraşırken tüm süreci blockchain için daha öngörülebilir hale getirmek.
Önceden belirlenmiş olması, saldırganın kurbanın varlıklarını almak için geçici, tek kullanımlık adresler oluşturabileceği anlamına geliyor. Her saldırı için yeni adresler kullanılabilir ve bu çok önemli; çünkü cüzdan güvenlik sağlayıcıları potansiyel olarak kötü amaçlı işlemleri işaretlemek için önceden tutulan verilere güvenir. Adresin tehlikeli bir geçmişi yoksa, işlemin bu tespitlerden kaçması muhtemel.
Saldırganların, kötü amaçlı etkinlik geçmişi olmayan bir cüzdan adresi kullanarak, sözleşmeyi dağıtmadan önce (hatta var olmadan önce) kurabilmesi, kurbanın bir sözleşmeyi onaylamasını sağlayabilirlerse, cüzdanlarını boşaltabilecekleri anlamına gelir.
Tabii ki, bunun başarılması için bazı sosyal mühendislik hileleri gerekiyor; ancak hepimiz gerçek olamayacak kadar çılgınca görünen ama gerçek hayattaki dolandırıcılık hikayelerini duymuşuzdur. Bu saldırı işe yarıyor ve son zamanlarda büyük tek işlem dolandırıcılıklarına olanak sağladı.
Araştırmacılar, bu olayların kurbanlar için ne kadar ciddi olabileceğinin bir örneği olarak, Ocak ayında saldırganların 3,6 milyon dolar değerindeki SuperVerse tokenlerini tek seferde ele geçirdiği bir dolandırıcılığın altını çizdi.
Blockchain’lerde fonları geri almak için yasal başvuru yolu veya müşteri yardım hattı yok. Bir kez gönderilip imzalandıktan sonra, hepsi bu; jetonlar tamamen kayboluyor.
Nasıl ve neden çalışıyorlar?
Saldırı akışı aşağıdaki gibi. İlk olarak, saldırganın henüz uygulamaya konulmamış bir sözleşmeyi (toplum mühendisliği gerektiren bir kısım) onaylaması için kurbanı ikna etmesi gerekiyor.
Daha sonra, fonları almak ve kötü niyetli sözleşmeyi dağıtmak için CREATE2’in yeni sözleşme adresleri oluşturma yeteneğini kullanıyorlar, bu da kurbanın yetkilendirmesiyle tamamlanır ve böylece kurbanın cüzdanı boşaltılıyor.
Buradaki kilit kısım, suç niyetiyle rapor edilme geçmişi olmayan yeni bir cüzdan adresinin oluşturulması. CREATE2 bunu dört parametre içeren bir hesaplama kullanarak üretir: saldırganın cüzdan adresi, sabit bir önek, bir tuz ve bir başlatma kodu.
Bu adres yalnızca mağdur sözleşmeyi onayladığında oluşturulacak, yani daha önce herhangi bir yasa dışı işlem için kullanılmamış olacak ve bir daha da kullanılmayacak, böylece bu tür işlemleri genellikle izleyen güvenlik korumaları atlanmış olacak.
Check Point araştırmacıları Oded Vanunu, Dikla Barda ve Roman Zaikin, “CREATE2 işlevinin kullanılması, blockchain alanında yenilik ve güvenlik arasındaki sürekli mücadelenin altını çiziyor.” dedi.
“Ethereum’un evrim geçirmeye devam etmesiyle, kullanıcıları sofistike saldırılardan korumak için tasarlanmış güvenlik mekanizmaları da aynı şekilde evrilmelidir. Farkındalık ve eğitim, yeni tehditlere karşı dijital varlıkları korumanın ilk adımlarıdır. Blockchain geliştiricileri ve kullanıcıları da aynı şekilde, bu sürekli değişen manzarada güvenli bir şekilde yol almak için bilgilerini ve güvenlik uygulamalarını sürekli güncellemeye devam etmelidir.”
“Bu zayıflık, ciber suçlularının yenilikçi saldırılarının karşısında dijital varlıkların güvenliği sağlamak için cüzdan güvenlik ürünlerindeki güvenlik önlemlerinin geliştirilmesi gerekliliğini ortaya koymaktadır.”
Kripto saldırılarının büyük işi
2023’ün sonlarına doğru, siber suçlulara büyük meblağlar kazandıran bir dizi yüksek profilli cüzdan tüketen saldırı gördük ve saldırılar yalnızca Ethereum blok zinciriyle sınırlı değildi.
Tron Vakfı’nın kurucusu ve Kasım ayında yaklaşık 120 milyon doları boşaltılan bir kripto borsası olan Poloniex’in sahibi Justin Sun, o sırada saldırganlara çaldıkları fonları iade etmeleri için bir ödül teklif etti.
Monero Projesi’nden sadece birkaç gün önce gizemli bir şekilde yaklaşık yarım milyon dolar boşaltıldı ve yılın başında 5.000 Atomic Wallet kullanıcısı boşaltıldı; bu, 2023’te meydana gelen yüksek profilli kripto olaylarından sadece birkaçı.
Bunların hepsi doğrudan CREATE2 istismarlarına atfedilmese de araştırmacılar, bunların büyük bir kısmının arkasında Kuzey Kore’nin devlet destekli Lazarus çetesinin olabileceğini söyledi.
Web3 dolandırıcılık karşıtı çözüm sağlayıcısı ScamSniffer, Mayıs ve Kasım 2023 arasında gerçekleşen bir dizi CREATE2 olayını analiz etti ve yaklaşık 99.000 kurbandan neredeyse 60 milyon doların çalındığı sonucuna vardı.
