Kripto Saldırgan, Oluşturulduktan Dakikalar Sonra Bir Balinanın Cüzdanını Ele Geçirdi ve Milyonlarca Dolar Çaldı

Blockchain güvenlik firması PeckShield, bir balinanın çoklu imza cüzdanından özel anahtarın ele geçirilmesi nedeniyle yaklaşık 27,3 milyon doların çalındığını bildirdi. Saldırganın, Tornado Cash aracılığıyla yaklaşık 12,6 milyon dolar (4.100 Ether - ETH) kara para akladığı ve yaklaşık 2 milyon dolar likit varlığı elinde tuttuğu belirtildi. Ayrıca, Aave (AAVE) üzerinde kaldıraçlı bir uzun pozisyona sahip olduğu da ifade edildi.

Hacken Extractor'da adli tıp başkanı olan Yehor Rudytsia'nın yeni bulguları, toplam zararın 40 milyon doları aşabileceğini ve olayın daha önce, 4 Kasım'a kadar uzanan bir tarihte başladığını gösteriyor. Rudytsia, 'ele geçirilen' olarak etiketlenen çoklu imza cüzdanının kurbanda hiçbir zaman anlamlı bir kontrole sahip olmadığını söyledi. Zincir üstü veriler, çoklu imzanın 4 Kasım'da 07:46 UTC'de mağdurun hesabı tarafından oluşturulduğunu, ancak mülkiyetin sadece altı dakika sonra saldırgana devredildiğini gösteriyor.

Saldırganın, Tornado Cash'e birkaç hafta boyunca, 4 Kasım'da 1.000 ETH ile başlayıp, daha küçük, kademeli işlemlerle Aralık ortasına kadar devam ederek, parti parti mevduat yaptığı görülüyor. Rudytsia'ya göre, saldırganın kontrolünde olan çoklu imzada yaklaşık 25 milyon dolarlık varlık da bulunuyor.

Ayrıca, cüzdan yapısıyla ilgili endişelerini dile getirdi. Çoklu imzanın "1'de 1" olarak yapılandırıldığını, yani işlemlerin onaylanması için yalnızca tek bir imza gerektiğini belirtti. Hacken'de merkeziyetsiz uygulama (DApp) denetçisi olan Abdelfattah Ibrahim, birkaç saldırı vektörünün hala mümkün olduğunu söyledi. Bunlar arasında, imzalayanın cihazında kötü amaçlı yazılım veya bilgi hırsızları, kullanıcıları kötü niyetli işlemleri onaylamaya ikna eden kimlik avı saldırıları veya anahtarları düz metin olarak saklamak veya birden fazla imzalayan için aynı makineyi kullanmak gibi zayıf operasyonel güvenlik uygulamaları yer alıyor.

Cointelegraph'ın bildirdiği gibi, Anthropic ve Machine Learning Alignment & Theory Scholars (MATS) grubu tarafından yapılan yakın tarihli bir araştırma, günümüzün önde gelen yapay zeka (YZ) modellerinin zaten gerçek, kârlı akıllı sözleşme istismarları geliştirebildiğini ortaya koydu. Kontrollü testlerde, Anthropic'in Claude Opus 4.5, Claude Sonnet 4.5 ve OpenAI'nin GPT-5'i, toplu olarak 4,6 milyon dolar değerinde istismarlar üretti ve ticari olarak temin edilebilen modeller kullanılarak otonom istismarın teknik olarak mümkün olduğunu gösterdi.