Cryptohack Özeti: M2, Metawin İstismarları

Bilgisayar korsanları, aralarında Bitcoin, Ether ve Solana’nın da bulunduğu 13,7 milyon dolarlık varlığı çalmak için merkezi kripto borsası M2’yi ihlal etti. M2, müşteri fonlarını geri kazandığını ve kullanıcı çıkarlarını korumak için gelişmiş güvenlik önlemleri uyguladığını söyledi.

CEO Richard ‘Skel’ Skelhorn, bir bilgisayar korsanının, kripto kumarhanesi Metawin’in Ethereum ve Solana sıcak cüzdanlarından 4 milyon dolardan fazla çaldığını ve “sürtünmesiz para çekme sisteminden” yararlandığını söyledi. Blockchain araştırmacısı ZachXBT, 115 hırsızlık adresini hackle ilişkilendirdi ve fonların KuCoin’e ve bir HitBTC hizmetine aktarıldığını ekledi. Metawin başlangıçta para çekme işlemlerini devre dışı bıraksa da daha sonra yeniden başladı. Discord’daki bir mesajında ​​Skelhorn, zararı şahsen karşıladığını ima ederek, “Kumbaramdaki kumbarayı boşalttım… İnşa etmeye devam ediyoruz.”

Animasyon iş akışı platformu LottieFiles’ın npm projesi Lotti-Player’a yapılan tedarik zinciri saldırısı, tehdit aktörlerinin web sitelerine kripto cüzdanı boşaltıcı yerleştirmesine olanak tanıdı ve potansiyel olarak en az bir kullanıcı için 723.000 dolarlık Bitcoin kaybına yol açtı. Saldırı, kullanıcıların kripto para cüzdanlarını Web3 uygulamalarına bağlamasını sağlayan ve varlıkları otomatik olarak boşaltan bir komut dosyası yerleştirerek belirli Lottie Web Player 2.0.5, 2.0.6 ve 2.0.7 sürümlerini hedef aldı. LottieFiles 2.0.4 sürümüne geri döndü. Birçok kullanıcı kitaplığa bir sürüm belirtmeden üçüncü taraf CDN’ler aracılığıyla eriştiğinden, farkında olmadan ele geçirilen sürümü aldılar ve bu da onları kripto dolandırıcılığı geçmişi olan bir kimlik avı alanına yönlendirdi. LottieFiles, ihlalin çalınan bir geliştirici kimlik doğrulama jetonundan kaynaklandığını ve diğer kaynaklarının etkilenmediğini söyledi.

Bilgisayar korsanları, popüler kitaplıklara benzeyecek şekilde tasarlanmış yüzlerce yazım hatası içeren paket dağıtarak ve geliştiricileri platformlar arası kötü amaçlı yazılım yüklemeleri için kandırarak devam eden bir kampanyada npm geliştiricilerini hedef alıyor. Checkmarx, Phylum ve Socket, ilk olarak 31 Ekim’de işaretlenen kampanyanın, komuta ve kontrol sunucusu adres dağıtımını yönetmek için Ethereum akıllı sözleşmelerini kullandığını söyledi.

Şu ana kadar 287’den fazlası yayınlanmış olan yazım hatası içeren paketler, Puppeteer, Bignum.js gibi kütüphaneleri ve çeşitli kripto para birimi kütüphanelerini kullanan geliştiricileri hedef alıyor. Kötü amaçlı paketler, kurulum sırasında tetiklenen ve uzak bir sunucudan işletim sistemine dayalı bir sonraki aşama ikili dosyayı alan, gizlenmiş JavaScript içerir. İkili dosya, hassas bilgileri sunucuya geri sızdırarak kalıcılık sağlar. JavaScript, C2 sunucusunun IP adresini almak için eters.js’yi kullanarak bir Ethereum akıllı sözleşmesiyle etkileşime girer. Bu merkezi olmayan blockchain tabanlı altyapı, tehdit aktörlerinin geleneksel yayından kaldırma yöntemlerini atlayarak IP adreslerini güncelleyebilmesi nedeniyle engellemeyi zorlaştırıyor. Rusça’daki hata mesajları, saldırganların Rusça konuşabilen kişiler olabileceğini gösteriyor ancak kimlikleri belirsizliğini koruyor.

Bitcoin’in yaratıcısı olduğunu iddia eden Avustralyalı bilgisayar bilimcisi Craig Wright’ın, Bitcoin Core geliştiricileri ve Jack Dorsey’s Square’e karşı açtığı 1,2 milyar dolarlık dava nedeniyle mahkemeye saygısızlık davasıyla karşı karşıya olduğu bildiriliyor. Britanya Yüksek Mahkemesi Yargıcı James Mellor, Wright’ın davasını, Cryptocurrency Open Patent Alliance tarafından 18 Aralık’ta açılan ve Wright’ın Bitcoin yazarlığına ilişkin çürütülmüş iddialarına bağlı yeni yasal işlemler başlatarak önceki bir kararı ihlal ettiğini iddia eden saygısızlık başvurusu duruşmasına kadar durdurdu. Wright, kimlik iddialarını değil, Bitcoin’deki yatırım çıkarlarını öne sürerek ihlali reddediyor. 26 Kasım’daki bir başka duruşmada kendisinin mahkemeye bizzat katılma potansiyeli ele alınacak.

FTX yan kuruluşu Alameda Research’ün, dondurulan varlıkların 50 milyon dolardan fazlasını geri almak için KuCoin’e dava açtığı bildiriliyor. 28 Ekim’de Delaware’deki ABD İflas Mahkemesinde sunulan iddiada, KuCoin’in, FTX’in Kasım 2022’deki çöküşü sırasında başlangıçta 28 milyon dolar değerinde olan varlıkları serbest bırakmayı reddettiği belirtiliyor. Alameda, KuCoin’in fonları alıkoymasının İflas Yasasını ihlal ettiğini ve varlıkların geri alınmasını ve zararların karşılanmasını istiyor. KuCoin, fonların “şüpheli faaliyetler” nedeniyle işaretlendiğini söyledi ve hesap sahipleriyle iletişim kurma girişimlerinin başarısız olduğunu iddia etti. Benzer bir süreçte FTX geçen ay Bybit ile anlaştı ve mirasına 228 milyon dolar ekledi.

Binance ve eski CEO’su Changpeng Zhao, SEC’in kripto varlıklarına ilişkin iddialarına itiraz eden değiştirilmiş şikayetinin reddedilmesi için bir dilekçe sundu. Binance’in hukuk ekibi, SEC’in tokenleri hatalı bir şekilde menkul kıymet olarak sınıflandırdığını savundu; bu tutum, kripto varlıklarının doğası gereği menkul kıymet olmadığını ve her işlemin bağımsız olarak menkul kıymet yasalarına uyması gerektiğini kabul eden mahkeme kararıyla çelişiyor. SEC’in değiştirilen şikayetinde, alıcıların varlığın kaynağını bilmediği “kör” işlemlerin bile menkul kıymet ticareti olarak kabul edilebileceği iddia edildi. Binance, SEC’in değiştirilen iddialarının “hukuk açısından başarısız olduğunu” ve reddedilmesi gerektiğini ileri sürdü.

Blockchain oyun platformu Immutable, ABD Menkul Kıymetler ve Borsa Komisyonu’nun kendisine bir Wells bildirimi yayınladığını ve ajansın menkul kıymetler yasası ihlalleri iddiasıyla kendisine karşı yaptırım uygulayabileceğini belirtti. Immutable, SEC’in odak noktasının 2021 listelemesi ve IMX tokeninin özel satışlarını içerebileceğini söyledi ancak bildirimdeki ayrıntıların sınırlı olduğunu da ekledi.