Bir kripto para balinası, kimlik avı saldırısına uğrayarak milyonlarca dolarlık Ethereum’unu kaybetti. ERC-20 token izinlerinin kullanıcıları dolandırmak için kötü niyetli akıllı sözleşmelerle kullanılma riskini gösteren bu saldırı, Ethereum stake sağlayıcıları tarafından alınan önlemlerin ve uyarıların önemini bir kez daha gözler önüne serdi.
Kripto para güvenlik firması PeckShield’ın bildirdiğine göre, yatırımcı, Lido Staked ETH (stETH) ve Rocket Pool ETH (rETH) bakiyesinin tamamını kaybetti. 6 Eylül tarihinde gerçekleşen saldırı sonucu çalınan miktarlar 15,5 milyon dolar değerinde stETH ve 8,5 milyon dolar değerinde rETH olmak üzere toplamda 24 milyon dolara ulaştı.
Dolandırıcı, çalınan varlıkları 13.785 Ethereum ve 1,64 milyon Dai token ile değiştirdi. Çalınan fonların büyük çoğunluğu, çeşitli adreslere aktarıldı ve dolandırıcı, mağduru “Ödeneği Artır” işlemlerini imzalatarak token onaylarını etkinleştirdi.
ERC-20 token’larının izin veya erişim izinleri özelliği, kötü niyetli akıllı sözleşmeler kullanılarak kullanıcıların dolandırılmasına olanak sağlıyor. Bu konuda daha önce yapılan uyarılar, söz konusu saldırının gerçekleşmesinden kısa bir süre sonra geldi.
Bu olayın ardından, en az beş Ethereum likit stake sağlayıcısı Ethereum stake piyasasının %22’sinden fazlasına sahip olmamayı taahhüt etti ve bu kuralı uygulamak için çalışmalara başladı. Bu sağlayıcılar arasında Rocket Pool, StakeWise, Stader Labs ve Diva Staking bulunuyor.