UXLink Hacker’ı Kimlik Avına Düştü: 542 Milyon Token Kaybetti

UXLink’te yaşanan son hack olayına dair drama şaşırtıcı bir boyut kazandı. Büyük bir güvenlik ihlalinde milyonlarca UXLink token çalan hacker, bu kez bir kimlik avı saldırısının kurbanı oldu. Zincir üstü veriler, değeri onlarca milyon doları bulan yaklaşık 542 milyon UXLink token’ın saldırganın cüzdanından çekildiğini gösteriyor. Bu durum, hacker’ın kötü niyetli bir akıllı sözleşmeye erişim izni vermesinden sonra yaşandı. Hikâye, UXLink’in çoklu imza cüzdanının ele geçirildiğini duyurmasıyla başlamıştı. Yüklü miktarda kripto varlık yasa dışı şekilde merkezi borsalara (CEX) ve merkeziyetsiz borsalara (DEX) aktarılmıştı.

Şirket, şüpheli yatırımların dondurulması ve fonların izlenmesi için hızla borsalarla, kolluk kuvvetleriyle ve blokzincir güvenlik uzmanlarıyla temasa geçti. Ancak ardından yaşananlar kripto topluluğunu hem şaşırttı hem de eğlendirdi. Blokzincir güvenlik analistleri, UXLink’in cüzdanını boşaltan hacker’ın yanlışlıkla bir kimlik avı sözleşmesini onayladığını keşfetti. Bu onay, saldırganlara basit bir “Allowance artırma” hilesiyle çalınan fonları boşaltma imkânı verdi. Web3 güvenlik firması Scam Sniffer’a göre, hacker onayı tam da token’lar çekilmeden önce imzaladı. Fonlar, daha sonra Inferno Drainer adlı grupla bağlantılı kimlik avı adreslerine yönlendirildi.

Kimlik Avı Nasıl İşledi?

Bu olayda kullanılan kimlik avı yöntemi yeni değil. Saldırganlar, yasal görünümlü sahte sözleşmeler oluşturuyor. Kurban sözleşmeyle etkileşime geçtiğinde, farkında olmadan saldırgana cüzdanındaki token’ları transfer etme izni veriyor. UXLink hacker’ı da büyük ihtimalle fonlarını güvenliğe alıyor ya da takas ediyorduğunu düşündü. Ancak aslında token’larının kontrolünü bir kimlik avı adresine devretti. Dakikalar içinde yüz milyonlarca UXLink token boşaltıldı ve hacker’ın elinde hiçbir şey kalmadı.

Zincir üstü kayıtlar, saldırganın adresinden iki büyük transfer yapıldığını gösteriyor:

• 108.395.883 UXLink token (yaklaşık 9,7 milyon dolar değerinde)
• 433.583.532 UXLink token (39 milyon doların üzerinde değer)

Toplamda 542 milyon token’dan fazlası kayboldu.

Topluluk Tepkisi

Kripto topluluğu bu gelişmeye hem inanamadı hem de mizahi yaklaştı. Kimlik avı saldırılarını sıkça ortaya çıkaran güvenlik araştırmacısı Cos, durumu “komik” olarak nitelendirdi. Hacker’ların bile kendi kullandıkları yöntemlere kurban olabileceğini vurguladı. Topluluğun birçok üyesi ise bunun “karma” olduğunu esprili şekilde dile getirdi. Fon kaybı ciddi olsa da olayın ironisi, bunu son dönemin en çok konuşulan kripto güvenlik olaylarından biri haline getirdi. Bu durum, Web3’teki kimlik avı tehditlerinin büyüklüğünü de açıkça ortaya koyuyor. Gelişmiş bir çoklu imza cüzdan saldırısını başarıyla gerçekleştiren bir kişi bile basit bir saldırı vektörüne yenik düştü.

UXLink’in Tepkisi

UXLink, ilk ihlali kontrol altına almak için aralıksız çalışıyor. Acil güvenlik duyurusunda ekip, güvenlik uzmanları ve borsalarla iş birliği yaparak çalınan fonları takip ettiklerini ve şüpheli işlemleri dondurduklarını açıkladı. Şirket, olayı polise ve düzenleyici kurumlara da bildirdi. Hacker’ın kimlik avına uğraması hikâyeye farklı bir boyut kattı, ancak UXLink veya topluluğu için asıl krizi çözmedi. İhlal hâlâ büyük bir fon kaybını ve kullanıcı güvenine ağır bir darbeyi temsil ediyor. UXLink, şeffaflık taahhüdünü koruduğunu ve soruşturma ilerledikçe düzenli güncellemeler paylaşmaya devam edeceğini bildirdi.

Olaydan Çıkarılan Dersler

Bu olay kripto dünyası için birkaç önemli dersi hatırlatıyor:

• Kimlik avına kimse bağışık değil. Hacker’lar bile kötü niyetli onaylarla kandırılabiliyor.
• Web3’te kimlik avı hâlâ en etkili saldırı yöntemlerinden biri. Karmaşık açıklar kadar, sahte onaylar gibi basit yöntemler de devasa kayıplara yol açabiliyor.
• Kullanıcılar her zaman dikkatli olmalı. Aceleyle bile olsa sözleşmeleri, izinleri ve cüzdan işlemlerini mutlaka iki kez kontrol etmek gerekiyor.

Hikâyedeki Beklenmedik Dönüş

UXLink hack olayı, son aylarda yaşanan en büyük ihlallerden biriydi. Yüklü hırsızlık ve projeyle borsaların acil müdahalelerini içeriyordu. Ancak hacker’ın bir kimlik avı grubuna yenik düşmesi, hikâyeyi kimsenin öngöremeyeceği bir noktaya taşıdı. UXLink topluluğu belirsizlikle karşı karşıya kalmaya devam ederken, kripto sektörü garip bir hatırlatmayla baş başa kaldı: merkeziyetsiz finans dünyasında hırsızlar bile soyulabiliyor.