paint-brush
Defter: Para Birimlerinin Güvensiz Saklanması ve Transferi İçin Bir Araç (Ya da Bununla Nasıl Para Kaybedilir)ile@hackerclqhckc0c0000356yh2xd3ynv
1,667 okumalar
1,667 okumalar

Defter: Para Birimlerinin Güvensiz Saklanması ve Transferi İçin Bir Araç (Ya da Bununla Nasıl Para Kaybedilir)

ile 6m2024/01/05
Read on Terminal Reader

Çok uzun; Okumak

Benzersiz güvenlikteki Ledger Live uygulaması (resmi mobil uygulama) sayesinde nasıl 100.000 USDT kaybettim?
featured image - Defter: Para Birimlerinin Güvensiz Saklanması ve Transferi İçin Bir Araç (Ya da Bununla Nasıl Para Kaybedilir)
undefined HackerNoon profile picture
0-item
1-item

Okuyuculara selamlar. Sanırım bu makaleyi okuyorsanız, bir şekilde kripto para birimleriyle bağlantınız var demektir. Veya Ledger'ı duymuşsunuzdur. Bu makalenin güvende kalmanıza yardımcı olacağını umuyorum. Sonuçta Ledger, kullanıcılarının kripto varlıklarının güvenliği konusunda endişe duymuyor.


Durumumu, benzersiz güvenlikteki Ledger Live uygulaması (resmi mobil uygulama) sayesinde nasıl 100.000 USDT kaybettiğimi anlatacağım.


"Kripto paranızı güvence altına almanın en akıllı yolu" - resmi web sitesinde sloganı ilan ediyor.


"6 milyondan fazla müşteri ve kripto alanında önemli sayıda kullanıcı tarafından güveniliyor."


Cüzdanın kendisinin ne kadar güvenli olduğuna karar veremiyorum. Ledger Nano X kullanıyorum. Ve eğer web sitelerine inanılırsa, cephaneliklerindeki en popüler cüzdan bu.


Bilgisayar korsanları için yol arkadaşı


Öyleyse başlayalım. Olay, Defter Kitlerinin hacklenmesinden sadece birkaç gün sonra meydana geldi. Güvenlik onların birinci önceliği olmaktan uzak olduğu için bu şaşırtıcı değil.


Ancak benim hikayem onların Ledger Live'ı hakkında: "Ledger cihazlarınız için eşlik eden kripto uygulaması".

Tek soru, kullanıcılar için mi yoksa bilgisayar korsanları için mi bir arkadaştır?


Sorun şu ki, adreslerimden birine 140 bin USDT aktarmam gerekiyordu. Bunu iki aşamada yapmaya karar verdim: Önce 40 bini transfer ettim, sonra kalan 100 bini transfer etmeyi planladım. Şaşırtıcı bir şekilde, 100.000 USDT işlemi gerçekleşmedi ve uygulamada 'Gönderiliyor' -100.000 USDT sarı durumuyla takılı kaldı.


Dolandırıcılık işleminin durumu gönderiliyor (Ekranlardaki Rusça dil için özür dileriz)


Ledger Live'da her işleme can sıkıcı 'Enerji gereğinden düşük' mesajı eşlik ettiğinden ilk düşüncem 'Belki de işlem ücretini ödeyecek yeterli TRX yoktur' oldu. 50 TRX'e kadar ücret ödeyebilirsiniz.' Bu sözde Enerji, TRX stake etme yoluyla kazanılır. Tron ağındaki ücret ödemeleri bu enerji veya TRX tokenı kullanılarak yapılabiliyor. Kullanıcının gaz ödemesi için TRX'i kullanmayı planladığında neden sürekli olarak enerjiyle ilgili bilgileri görmeye ihtiyaç duyduğu belirsizdir. Ama bu konunun dışında.


Daha sonra TRX'imi doldurdum, tekrar girdim ve ölümcül hatamı yaptım. Elbette, eğer yaratıcılar güvenliği gerçekten önemsiyor olsaydı, uygulamada bir takım değişiklikler yapmış olurlardı, bunu daha sonra yazacağım.


'Gönderiliyor' durumu ve -100.000 USDT tutarındaki işleme takılıp kalan işleme tıkladım.


Kişisel hesabımda böyle bir işlemin aslında benim olmadığını kim düşünebilirdi? Doğal olarak adresin başı ve sonunun benimkiyle eşleştiğini gördüm ama adresin ortasını kontrol etmedim.


'Gönderiliyor durumuyla birlikte kişisel hesabımda' diye düşündüm. Aynı zamanda aklıma şu geldi: 'Panodaki verileri değiştiren virüsler yok mu?'


Kopyalanan adresi yapıştırdığım adresle karşılaştırdım - her şey yolunda. Ancak cüzdanıma yapılan dolandırıcılık işlemlerinin kişisel hesabımda görüntülenebileceğini bilmiyordum. Özellikle 'Gönderiliyor' durumuyla.


Ve tahmin edebileceğiniz gibi arkadaşlar, işlemi onayladım ve bir hacker'a 100 bin USDT hediye ettim. Saniyeler içinde zaten bir karıştırıcıdan geçmişlerdi.


USDT'nin yolu çalındı

"Tarihimizde dolandırıcılık işlemleri sık sık görülüyor mu? O zaman insanların adresleri kopyalama olanağına sahip olmasına izin verin."


İstediğim para çekme adresim: TKnjLgWCY5200001tKDZSLREpD1mTdFaaX (Her ihtimale karşı ortadaki kısmı sıfırlarla değiştirdim)


Dolandırıcılık adresi: TKhgUSUVSkABHKdDiJkDLVhbKTxqTdFaaX


Teksas kimliği: 5c5cbe5c30bc3a04df9b13cf5328e1e92b6c06af77d368c6718878972be4bdf5


Bu kadar düşünceli olan Ledger, yalnızca dolandırıcılık işlemlerini görüntülemekle kalmıyor, aynı zamanda geçmişteki adreslerin zahmetsizce kopyalanmasına da yardımcı oluyor. Sadece birkaç saat sonra, 'Gönderiliyor' işlem başlığı ve -100.000 USDT ortadan kayboldu. İşlem sahte hale geldi. Çok ilginç bir durum.

Puanlar

Peki bu makalenin amacı nedir? Dünyada çok sayıda dolandırıcı var ve kripto alanında bunların sayısı sayısızdır. Bilgisayar korsanları, dolandırıcılar ve hırsızlar için bir cennet. Ledger'in kendisinin sorumsuz bir şirket olduğunu düşünüyorum. Ve şimdi birçok kişinin Ledger'ı kullandıktan sonra neden onu kullanmayı reddettiğini anlıyorum. İnternette insanların onu çöpe attığına dair birçok video var.


Ve anlayabileceğiniz gibi, bu tür durumlar insanların başına yeterince sık geliyor. Ledger bu güvenlik kusurlarını ortadan kaldıracak adımlar atabilir mi? Elbette. Ama bazı nedenlerden dolayı bunu yapmıyorlar. Belki onlar için karlı değildir?


Neden aşağıdaki adımları atmıyorlar:

1. İşlem geçmişinden adres kopyalama özelliğini kaldırın (en temel yöntem).

2. Adres filtrelemeyi ekleyin.

3. Dolandırıcılık işlemlerini vurgulayın (birçok kaşifin ve hizmetin yaptığı gibi).

4. Onaylanmış adreslerin bir listesini ekleyin (burada kullanıcı, borsalarda ve diğer platformlarda olduğu gibi 'Beyaz adresler' ekler. Bu liste dışındaki bir adrese gönderim yaparken, adresin büyük yazı tipiyle yazıldığı ve şunu belirten bir onay penceresi görünmelidir: 'Adres, onaylı adresler listenizde yok' ve iyice yeniden kontrol etmeniz önerilir.

5. Aynı adresle sık etkileşimler için, onu sık kullanılan adresler listesine ekleyin.


Bunun yerine, uygulamada çeşitli stake varyasyonları, yönlendirme sistemleri ve daha fazlası hakkında çok sayıda reklam var.


Defter Desteği buna 'Adres Zehirlenmesi' (adres zehirlenmesi) adını verir. Bu çok popüler bir şey.


En son Ağustos 2023'te güncellenen makalelerinin bağlantısını burada bulabilirsiniz. O zamandan bu yana neredeyse 5 ay geçti ve şirket, güvenlik açıklarını ortadan kaldırmaya yönelik herhangi bir adım atmadı.


İşte Yazılım Mimarlarının Adres Zehirlenmesi sürecini anlattığı başka bir makale . Ancak saldırganların kişilerin adreslerinden sıfır miktarda Transfer token kullandığı belirtiliyor. İddiaya göre Ledger, karşı önlem sistemini sürekli olarak geliştiriyor. Ama benim durumumda transfer hiç de sıfır değildi. Transfer tutarıyla tam olarak eşleşiyordu.


Tabii ki, destek ekibi yanıt mektubuna kullanıcı sözleşmesine bir bağlantı ekledi. Doğal olarak, şirket tarafından bir sorumluluk reddi beyanı içermesinin yanı sıra tüm sorumluluğu kullanıcıya devretmektedir. Dolayısıyla, Ledger Live uygulamasında, şirketin para göndermek için kendi adresini girdiği 'İşte para göndermek için adresiniz' yazan bir pencere görürseniz, tekrar kontrol etmemek sizin ve yalnızca sizin sorumluluğunuzdadır. Uygulamada ne yazdığı önemli değil.


Durumumun kesinlikle benzer olduğunu düşünüyorum; uygulamada bir dolandırıcılık işlemi işaretlendi:

  • Beklemede durumu olan,
  • eşleşen işlem tutarı - 100.000 USDT.


Kullanıcıların büyük çoğunluğu bu işlemin kendi adreslerinden gönderildiğini ve yürütülmek üzere kuyrukta olduğunu (veya yürütülemediğini) düşünür.


Ve sonunda. Ürünün hangi yaygın dağılımından bahsedebiliriz? Onlara göre bunu kullanan herkes Adres Zehirlenmesini biliyor veya bilmesi gerekiyor. Umarım yazımın ardından Ledger'ı kullanmayı bırakırsınız. Ve eğer sadece bunu düşünüyorsan, bu fikirden vazgeçeceksin.


Örnek olarak mobil bankacılığı ele alalım. Kişi listenizden birini seçip ona para aktarırsanız, banka uygulamasının bu kimlik bilgilerine sahip başka birinin ayrıntılarını göstermesi gibi bir durum söz konusu olabilir mi? Şirketi dava etmeyi ve düzenleyici makamlara şikayette bulunmayı planlıyorum. Böyle bir hukuksuzluğun olmaması gerekiyor. Ya finansal başvurularının güvenliğine dikkat etmeliler ya da para cezası ödeyip kum havuzunda oynamaya gitmeliler.


Not: Okuduğunuz için teşekkür ederiz! İşlem gönderirken dikkatli ve dikkatli olun. Ve hizmetlerinin güvenliğiyle ilgilenen ve müşterilerin yararına çalışan hizmetler ve şirketler lehine seçimler yapın.


Benim için Ledger, tamamen sorumsuz olan ve bu tür sorunlara göz yuman bir şirket örneğidir. Hizmetlerinin sürekli olarak hacklenmesi ve müşteri kayıpları (Defter Kiti). Amacım bu vakayı mümkün olan en geniş kitleye yaymak, böylece herkesin şirketin müşterilerine karşı tutumunu öğrenmesini sağlamak.