Web3 dolandırıcılıkları, 2025'in ilk yarısında 3,1 milyar dolarlık zararı aştı

2025'in ilk yarısı, blok zinciri güvenlik firması Hacken'in dolandırıcılık, ihlaller ve protokol başarısızlıkları nedeniyle 3,1 milyar doların üzerinde kümülatif kayıp bildirmesiyle Web3 ekosistemi için şimdiden felaket olduğunu kanıtladı.

Bu rakam, 2024'ün tam yıl toplamını şimdiden aşıyor ve sadece altı ayda verilen hasarın ölçeğinin altını çiziyor.

Birincil neden: Şubat ayında 1,46 milyar dolarlık dönüm noktası niteliğindeki Bybit istismarı da dahil olmak üzere yaklaşık 1,83 milyar dolarlık zarara katkıda bulunan erişim kontrolü hataları.

İç tehditler, güvenliği ihlal edilmiş anahtarlar en büyük ihlallere neden oluyor

Yılın en büyük tek olayı, kötü niyetli aktörlere fonların tam kontrolünü veren, güvenliği ihlal edilmiş bir cüzdan imzalayana atfedilen Bybit saldırısıydı.

Bilgisayar korsanları, varlıkları tespit edilmeden boşaltmak için güvenlik açığını kullandı ve özel anahtar depolama ve yönetiminde önemli bir zayıflık ortaya çıkardı.

Bunu, eski bir geliştiricinin tek bir işlemde 50 milyon dolar çalmak için dahili erişimden yararlandığı Infini Protocol saldırısı izledi.

Olay, içeriden gelen tehditlerin, özellikle eksik yönetişim veya erişim kısıtlamalarına sahip olanlar olmak üzere, merkezi olmayan protokoller için nasıl devam eden bir zorluk olmaya devam ettiğini vurguladı.

İran'ın Nobitex borsası, analistlerin siyasi olarak motive edilmiş olabileceğini öne sürdüğü bir ihlalde 90 milyon dolar kaybettiğinde jeopolitik gerilimler de gündeme geldi.

Olay, maksimum etki için birden fazla saldırı vektörünü birleştiren hem kimlik avı hem de teknik uzlaşmayı içeriyordu.

DeFi platformları kusurlu akıllı sözleşmelerden muzdariptir

Merkezi olmayan finans (DeFi) platformları da bundan nasibini aldı. Hacken, akıllı sözleşme güvenlik açıklarından, çoğunlukla mantık hatalarından ve taşma kontrollerinden kaynaklanan toplam 263 milyon dolar zarar bildirdi.

En ciddi vaka, Mayıs ayında 223 milyon doların boşaltıldığını gören Cetus'u içeriyordu.

Hata, saldırganların kazanılmamış varlıkları tekrar tekrar çekmesine izin veren bir likidite aralığı yanlış hesaplamasına kadar izlendi.

Bu olaylar, birçok DeFi platformunun denetlenmemiş veya yeterince test edilmemiş kod dağıtmaya devam ettiğini ve bu da onları karmaşık istismarlar için çekici hedefler haline getirdiğini gösteriyor.

2020-2022'deki benzer güvenlik açıklarından alınan geçmiş derslere rağmen, bazı protokoller hala sağlam mantık kontrolleri ve resmi doğrulama uygulamakta zorlanıyor.

Kimlik avı dolandırıcılığı ve sahte destek planları hızlanıyor

Kimlik avı saldırıları yeni rekorlara ulaştı ve 600 milyon dolarlık zarara neden oldu ve 2024'ün tam yıl toplamını da aştı.

En zarar verici vakalardan biri, çok aşamalı bir dolandırıcılığın kurbanı olduktan sonra Bitcoin'de 330 milyon dolar kaybeden yaşlı bir ABD'li yatırımcıyı içeriyordu.

Coinbase kullanıcıları da bir veri ihlalinin ardından hedef alındı. Çalınan kimlik bilgilerini ve müşteri bilgilerini kullanan dolandırıcılar, resmi Coinbase destek personelinin kimliğine büründü.

Kurbanlar, tohum ifadelerini ve iki faktörlü şifreleri teslim etmeleri için kandırıldı ve bu da 100 milyon dolardan fazla çalıntı fona yol açtı.

Ek dolandırıcılıklar arasında sahte cüzdanlar, aldatıcı tarayıcı uzantıları ve benzer dApp'lere gömülü token onay tuzakları yer aldı.

Tüm bunlar, kurban fark etmeden fon çekmek için sosyal mühendisliğe ve arayüz manipülasyonuna dayanıyordu.

Yapay zeka destekli saldırılar yeni taktiklerle %1000 arttı

Yapay zeka ile ilgili saldırılar artıyor ve Hacken, 2023'e kıyasla %1000'lik bir artış gözlemliyor.

Bu ihlallerin çoğu, saldırganların otomasyon sistemlerini ve kullanıcı cüzdanlarını ele geçirmek için hızlı enjeksiyon, sahte yapay zeka aracıları ve savunmasız araç zincirleri kullandığı güvenli olmayan API'leri içeriyordu.

Bu yöntemler, yeterince anlaşılmayan veya yetersiz korunan gelişmekte olan teknoloji katmanlarından yararlanarak geleneksel siber güvenlik protokollerini atlar.

Yapay zeka araçları DeFi'ye, borsalara ve cüzdanlara giderek daha fazla entegre oldukça, saldırı yüzeyi hızla genişliyor ve bilgisayar korsanlarına savunmaları atlamak için yeni yollar sunuyor.

Yılın sadece yarısı geride kalırken, bu ihlallerin ölçeği ve karmaşıklığı, kripto endüstrisinin son yılların en kritik güvenlik anıyla karşı karşıya olduğunu gösteriyor.

Güvenlik uzmanları şimdi daha fazla maruziyeti azaltmak için erişim kontrolleri, sözleşme denetimleri ve yapay zeka kullanım yönergelerinde acil güncellemeler çağrısında bulunuyor.