2022 yılında yaşanan veri ihlali sonucu çalınan 7 milyondan fazla OpenSea kullanıcısının e-posta adresleri, yakın zamanda tamamen kamuya açık hale getirildi ve bu durum milyonlarca kullanıcının risk altında olmasına neden oldu. Blokzincir güvenlik firması SlowMist’in baş bilgi güvenliği sorumlusu 23pds’nin açıklamasına göre sızdırılan veriler kimlik avı ve diğer saldırılar için riski önemli ölçüde artırıyor. 13 Ocak tarihli bir X paylaşımında güvenlik araştırmacısı, bu verilerin kamuoyuna duyurulmadan önce birden fazla kez dağıtıldığını kripto para topluluğuna duyurdu.
23pds, sızdırılan verilerin arasında eski Binance CEO’su Changpeng “CZ” Zhao gibi kripto para sektöründeki önde gelen isimlere, tanınmış şirketlere, etkili kişilere ve diğer önemli şahsiyetlere ait e-posta adreslerinin de bulunduğunu, bunun da kripto para sektörünün gizlilik ve varlık güvenliğine gelecekte ek riskler oluşturacağı konusunda uyarıda bulundu.
Bahsi geçen e-posta adresleri, Haziran 2022’de OpenSea’nin e-posta teslimat sağlayıcısı Customer.io’nun bir çalışanın yetkisiz erişimini kötüye kullanarak OpenSea kullanıcıları ve bülten abonelikleri tarafından sağlanan e-posta adreslerini indirdiği ve yetkisiz bir dış tarafla paylaştığı bir olayda çalınmıştı.
O dönemde, NFT pazar yeri kullanıcılarını kimlik avı ve taklit girişimlerine karşı uyardı; e-posta bağlantılarıyla dosya indirmemek veya cüzdan işlemlerini imzalamamak konusunda uyarıda bulunarak tüm resmi iletişimin yalnızca ‘opensea.io’ alan adından yapılacağını belirtmişti.
En büyük NFT pazar yerlerinden biri olan OpenSea kullanıcıları, farklı sebeplerle kimlik avı dolandırıcılarının hedefi oldu.
Veri sızıntısından sadece birkaç ay sonra, Aralık 2022’de bir blok zincir güvenlik platformu, saldırganların OpenSea’nin gazsız işlem özelliğini istismar etmek için kimlik avı web siteleri kullandığı konusunda kullanıcıları uyardı. Kurbanlar, anlamsız imza isteklerini imzalamaya kandırıldı ve bu da farkında olmadan değerli NFT’lerin saldırganların hesabına özel satış veya anlık transferini yetkilendirdi.
Kasım 2023’te OpenSea geliştiricileri, sahte geliştirici hesap riski uyarıları da dahil olmak üzere kimlik avı kampanyalarının hedefi oldu; bu durum bazı uzmanların geliştirici iletişim bilgilerinin de ihlal edilmiş olabileceğine inanmasına neden oldu.
Benzer şekilde, Ocak 2024’te dolandırıcılar, OpenSea kullanıcılarına Nike ve RTFKT arasında sınırlı sayıda NFT iş birliği için özel bir basım etkinliği sözü veren e-postalar gönderdi. E-postada, alıcıların seçilen 400 katılımcı arasında olduğu ve “Şimdi RTFKT’yi Basın” bağlantısını içerdiği belirtildi; bu bağlantının ise cüzdan bilgilerini veya fonları çalmak için tasarlanmış kötü amaçlı bir web sitesine yönlendirdiği bildirildi.
Kimlik avı dolandırıcılığı, birçok biçimde ortaya çıkması nedeniyle kripto para meraklıları için büyük bir tehdit oluşturuyor, izlenmesi zor ve etkin bir şekilde önlenmesi daha da zor hale getiriyor. Uzmanlar, kullanıcıların e-posta kaynaklarını doğrulamaları, bilinmeyen bağlantılara tıklamaktan kaçınmaları, iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve özel cüzdan anahtarlarını veya hassas bilgileri asla çevrimiçi olarak paylaşmamaları konusunda uyarıda bulunuyor.
