Tıkladığı kimlik avı bağlantısı nedeniyle cüzdan izinlerini istemeden de olsa saldırganlarla paylaşan bir kripto para yatırımcısı, tek bir hatası yüzünden 24 milyon dolarından oldu.
Bir kripto para kullanıcısı daha kimlik avı dolandırıcılığına kurban gitti. Birden fazla on-chain güvenlik firması tarafından alınan verilere göre zararlı bir bağlantıya tıklayan ve farkında olmadan cüzdan kontrollerini saldırganlara teslim eden bir kullanıcı, 24 milyon dolardan fazla kripto para kaptırdı. Söz konusu işlemin şimdiye kadarki en büyük kimlik avı dolandırıcılıklarından biri olduğu belirtildi.
On-chain veri platformu DeBank’a göre kullanıcının çalınan varlıkları arasında 8,5 milyon dolar değerinde 4.851 Rocket Pool ETH (rETH) ve yaklaşık 15,6 milyon dolar değerinde 9.579 Lido Staked ETH (stETH) yer aldı.
Tıkladığı zararlı bağlantı sonucunda cüzdan yetkilerini üçüncü taraflarla istemeden paylaşan mağdur yatırımcının varlıkları, kısa süre içerisinde Etherscan tarafından “Fake_Phishing186943” olarak mimlenmiş bir adrese taşındı.
Söz konusu adres çaldığı fonları DAI’ye çevirerek birden fazla adrese aktardı.
Güvenlik firması Beosin’in analisti Mario B, kripto para varlıklarının “transferFrom” işlevi aracılığıyla çalındığını ve bu sebepten bunun bir kimlik avı bağlantı saldırısı olabileceğini ifade etti.
Konu hakkında açıklamada bulunan BlockSec analisti Jingyi Guo, kimlik avı saldırısı olduğunu düşünen isimler arasında yer aldı:
Kurban, rETH ve stETH için token onaylarını iki ayrı işlemde kimlik avcılarına verdi. Bu işlemlerin imzalanmasının bir kimlik avı bağlantısına eriştikten sonra gerçekleşmiş olması kuvvetle muhtemeldir.