Emeklilik fonu tamamen gitti! Yatırımcıların XRP Cüzdanı hacklendi, 3 milyon dolar Huione'ye Kara Para Aklama olarak aktarıldı.

54 yaşındaki emekli Brandon LaRoque, Ellipal XRP cüzdanındaki 1.2 milyon XRP'nin (yaklaşık 3 milyon dolar değerinde) çalındığını keşfetti; bu, 2017'den beri biriktirdiği tüm yaşam tasarruflarıydı. Blok zinciri araştırmacısı ZachXBT, bu kaybı 120'den fazla cross-chain değişimi aracılığıyla takip etti ve varlıkların Huione ile bağlantılı OTC Trade masasında kaybolduğunu buldu.

Emeklilik Fonları Yok Oldu: XRP Cüzdanındaki Öldürücü Güvenlik Açığı

(Kaynak: Youtube)

Olay, bu ayın başlarında Brandon LaRoque'un Ellipal XRP Cüzdanı'ndaki 1,2 milyon XRP'nin çalındığını keşfetmesiyle başladı. Dikkate değer olan, çalınan miktarın mevcut döviz kuru üzerinden 2,88 milyon dolar değerinde olması ve bu 54 yaşındaki emekli kişinin 2017'den beri biriktirdiği tüm tasarruflarıdır.

Başlangıçta fonlarının soğuk cüzdanda güvende olduğunu düşünüyordu. Ancak daha sonra, LaRoque, tohum ifadesini Ellipal mobil uygulamasına aktarınca, ayarların aslında sıcak cüzdana dönüştüğünü keşfetti. Bu ölümcül yanlış anlama felakete yol açtı.

“Son sekiz yıldır XRP biriktiriyorum,” Larocque, YouTube videosunda bu hırsızlık olayını anlattı. “Bu, emeklilik hayatımızın tamamına eşdeğer, ne yapacağımı bilmiyorum.” Bu tür bir çaresizlik sesi, XRP Cüzdanı'nın çalınması vakalarında nadir değildir.

Ellipal davası, kendi kendine saklama güvenliği hakkında tartışmaları yeniden alevlendirdi. Mağdurlar, Ellipal'in soğuk cüzdanı ile uygulama tabanlı sıcak cüzdanı karıştırdı; bu durum, XRP cüzdan tasarımındaki belirsizlik ve kullanıcı eğitimindeki eksiklikleri yansıtıyor. Soğuk cüzdan tamamen çevrimdışı olmalı ve özel anahtar asla ağa maruz kalmamalıdır. Ancak, kullanıcılar tohum ifadesini mobil uygulamaya girdiğinde, özel anahtar ağ ortamında açığa çıkar ve özünde sıcak cüzdan haline gelir.

Bu tür tasarım belirsizliği, birçok XRP cüzdanının yaygın bir sorunudur. Kullanıcılar genellikle yalnızca bir donanım cüzdanı veya markanın iddia ettiği “soğuk cüzdan” kullandıkları için fonlarının kesinlikle güvende olduğunu varsayıyorlar. Gerçekte, işlem sürecindeki herhangi bir hata güvenliği tehlikeye atabilir. Ellipal, kullanıcı arayüzünde ve belgelerinde bu tür bir riski yeterince uyarıp uyarmadığı sorgulanabilir.

Huione Kara Para Ağı: 150 Milyar Dolar

ZachXBT'nin zincir üstü incelemesi, saldırganların 120 Ripple-to-Tron köprüleme işlemi aracılığıyla çalınan XRP'yi değiş tokuş ettiğini ortaya koydu. Bridgers'ı (eski adıyla SWFT) kullanarak, ardından fonları Tron'a entegre ettiler. Üç gün içinde, bu varlıklar Huione ile bağlantılı OTC Trade masasında kayboldu.

Amerikan Hazine Bakanlığı, bu Güneydoğu Asya ödeme ağına yaptırımlar uyguladı çünkü şirket, dolandırıcılık, insan kaçakçılığı ve siber suçlar yoluyla Huione ile kara para aklama yapıyor ve bu miktar milyarlarca doları buluyor. Bu dava, XRP cüzdanı soygununu Huione'nin ağıyla ilişkilendirerek, küresel hukuk uygulamalarındaki önemli bir zayıflığı ortaya koyuyor. Amerikan yetkilileri, Huione'nin kara para aklamasının 15 milyar dolardan fazla yasadışı transferi kolaylaştırdığını belirtti.

Huione'nin kara para aklama ağı oldukça gizli bir şekilde çalışıyor. Görünüşte yasal bir ödeme ve döviz hizmeti sağlayıcısı olarak, Huione Güneydoğu Asya'daki birçok ülkede faaliyet gösteriyor ve suçlulara kripto paraları fiat para birimlerine çevirme imkanı sunuyor. Bu ülkelerdeki düzenlemelerin daha gevşek olması ve hukuk uygulamalarında koordinasyonun zor olması nedeniyle, Huione uzun süre yaptırımlardan kaçınabilmiştir.

Eksiklik, blok zinciri yolları açık olsa bile, yargı yetkileri arasında para aklama kanallarının hala kesilmesinin zor olmasıdır. ZachXBT, fonların Huione'a akışını izleyebiliyor ancak fonların orada nakde çevrilmesini ve kaybolmasını engelleyemiyor. Bu tür bir uygulama boşluğu, kripto para suçlarının yaygın olmasının temel nedenidir.

Huione para aklama süreci üç adımda:

Birinci Adım: cross-chain karıştırma: 120 köprü işlemi ile XRP'yi Tron'a dönüştürerek fon kaynağını belirsizleştir.

İkinci Adım: Entegrasyon Transferi: Küçük miktarları büyük miktarlarda birleştirerek, Tron zincirindeki yeni bir adrese transfer edin.

Üçüncü Adım: OTC nakit çıkışı: Huione ile entegre OTC ticaret masasında yerel para birimine dönüştürmek, tamamen kaybolmak.

%95 Kurtarma Şirketi Soyguncudur: İkincil Dolandırıcılık Endüstri Zinciri

Her ne kadar yasadışı faaliyetlerle mücadele eden kurumlar hızlı bir şekilde yanıt vermekte zorlanıyor olsa da, ZachXBT, kurtarma ekonomisinin ortaya çıktığını ve bunun kurbanların çaresiz duygularını kullandığını belirtti. “Bir diğer ders, geri alma şirketlerinin %95'inden fazlasının sömürücü olduğudur; yalnızca temel raporlar sunuyorlar ve yüksek ücretler talep ediyorlar, ama çok az sayıda uygulanabilir içgörü sağlıyorlar,” diye yazdı.

O, birçok bu tür şirketin XRP Cüzdanı soygun kurbanlarını çekmek için arama motoru optimizasyonu ve sosyal medya hedeflemesi kullandığını ekledi. Genellikle yüzeysel Blok Zinciri raporları sunuyorlar veya müşterilere “borsayla iletişime geçin” diyorlar. Bu tür hizmetlerin gerçek değeri son derece düşüktür, ancak ücretleri son derece yüksektir ve genellikle kurbanlardan on binlerce dolarlık ön ödeme veya başarılı bir şekilde geri alındıktan sonra yüksek bir komisyon talep ederler.

Bu ikinci katman mekanizması, birçok yüksek değerli hack saldırısını çok aşamalı suçlara dönüştürdü. İlk olarak, saldırıyı gerçekleştiren hacker kendisidir, ardından aslında çoktan kaybolmuş olan fonları geri almayı vaat eden sahte geri kazanım operatörleri gelir. 300.000 dolar kaybeden LaRoque gibi kurbanlar için, bu geri kazanım şirketlerinin sahte vaatleri durumu daha da kötüleştiriyor.

ZachXBT, gerçek trajedinin, bir sonraki kaybın hackerlardan değil, fonları geri almakta yardımcı olduklarını iddia edenlerden gelebileceğini ima ediyor. Kurbanlar çaresizlik içinde yardım ararken, bu sömürücü şirketler umutlarını ve çaresizliklerini kullanarak son değeri sömürüyorlar.

XRP Cüzdan Güvenlik Dersi: Soğuk ve Sıcak Cüzdanların Ölümcül Karışıklığı

Bunun yanı sıra, para aklama ipuçları ve dolandırıcılık şirketlerini geri kazanmanın ötesinde, Ellipal davası XRP Cüzdanı'nın kendi kendine saklama güvenliğini yeniden gündeme getirdi. Mağdurlar, Ellipal'ın soğuk cüzdanı ile uygulama tabanlı sıcak cüzdanı karıştırarak, cüzdan tasarımının belirsizliği ve kullanıcı eğitimindeki eksiklik sorununu yansıtıyor.

Soğuk cüzdan ve sıcak cüzdanın temel farkı, özel anahtarın ağa dokunup dokunmamasıdır. Gerçek bir soğuk cüzdanın özel anahtarı asla herhangi bir internete bağlı cihazla temas etmez, tüm işlemler çevrimdışı ortamda imzalanır. Buna karşılık, sıcak cüzdanın özel anahtarı internete bağlı cihazlarda saklanır, kullanımı kolaydır ancak güvenliği daha düşüktür.

LaRoque'un hatası, tohum ifadesini mobil uygulamaya girmesidir. Ellipal donanım cihazı soğuk cüzdan olsa da, tohum ifadesi çevrimiçi bir uygulamaya girildiğinde, tüm XRP cüzdanının güvenliği sıcak cüzdan seviyesine düşer. Bu tür bir işlem hatası, cüzdanın çalışma şekli hakkında bir yanlış anlamadan veya Ellipal'ın kullanıcı arayüzünün bu tür bir işlemin risklerini yeterince uyarmamasından kaynaklanıyor olabilir.

Kripto para ile ilgili suçları işleme kapasitesinin eksikliği nedeniyle, LaRoque'un 3 milyon dolarını geri alma umudu belirsiz. Huione gibi uluslararası kara para aklama ağlarının giderek yaygınlaşmasıyla, geri alma zorluğu da artıyor. ZachXBT fon akışını izleyebilse de, fon Huione ağına girdikten ve fiat para birimine dönüştürüldükten sonra blok zincirinin şeffaflığı etkisini yitiriyor.