Mayıs 2026'nın son haftasında gerçekleştirilen bir kimlik avı kampanyası, MetaMask'i taklit ederek "zorunlu" bir 2026 sistem güncellemesi gerektiğini iddia etti ve yüzlerce EVM cüzdanını boşalttı. Zincir üstü araştırmacı ZachXBT, 28 Mayıs'ta Ethereum, Polygon, Arbitrum ve Base ağlarında bağlantılı boşaltma işlemlerini tespit ederek örüntüyü duyurdu. Her cüzdan başına kayıplar geçmişteki manşetlere çıkan sekiz haneli hacklerden daha düşük olsa da, mağdur sayısı yüksek ve saldırı yöntemi alışılmadık derecede profesyonel.
Belgelenen vakalarda cüzdan başına ortalama kayıp düşük beş haneli seviyede ve ZachXBT'nin 30 Mayıs tarihli hesaplamasına göre kampanyanın toplam zararı 400'den fazla farklı adreste 9 milyon doların üzerinde. Dolandırıcılık, dolar miktarından çok kullanılan yöntem nedeniyle önem taşıyor. Sahte bir e-posta veya bildirim, kullanıcının cüzdanının çalışmaya devam etmesi için bir güncellemenin "doğrulanması" gerektiğini iddia etti. Doğrulama sayfası, kullanıcıdan cüzdanı bağlamasını ve tek bir işlemi imzalamasını istedi. Bu imza, boşaltıcı sözleşmeye token onayı anlamına geliyordu. Cüzdan saniyeler içinde boşaltıldı.
Kimlik Avı Zinciri Nasıl İşliyor?
Saldırı zinciri beş adımdan oluşuyor ve oldukça basit. Mağdur, MetaMask'tan geliyormuş gibi görünen bir e-posta veya bildirim alıyor. Metinde, cüzdanın işlevini sürdürebilmesi için 2026 yılına ait bir sistem güncellemesinin gerekli olduğu, belirtilen tarihe kadar güncellenmezse fonlara erişimin kaybolacağı uyarısı yer alıyor. Bildirimde, görsel olarak metamask.io'yu taklit eden bir alan adına bağlantı eklenmiş. Gerçek URL ise tipik olarak yazım hatalı (metamasks-update.com, metamask-validator.io, secure-metamask.app ve benzeri varyasyonlar kullanılmış).
Açılış sayfası MetaMask web sitesinin neredeyse birebir görseli. Kullanıcıdan bir butona tıklayarak WalletConnect penceresini açıp cüzdanını "doğrulaması" isteniyor. Kullanıcı işlemi okumadan imzalıyor. Bu işlem genellikle ERC-20 tokenlar için setApprovalForAll, NFT transfer onayı veya drainer sözleşmenin cüzdan bakiyesinin tamamını harcamasına izin veren permit imzası oluyor.
İmzanın ardından saniyeler içinde drainer sözleşme tüm tokenları saldırganın kontrolündeki bir adrese aktarıyor. Fonlar dakikalar içinde zincirler arası köprüleniyor, Tornado Cash alternatifleriyle karıştırılıyor ve hâlâ aktif olan belirli hedef cüzdanlara yönlendiriliyor.
Bu Kampanyayı Etkili Kılan Nedenler
Bu kampanyayı tipik cüzdan boşaltıcı saldırılardan ayıran üç unsur var. İlki, taklit kalitesi. Önceki MetaMask kimlik avı denemeleri bariz biçimde sahte e-posta şablonları ile yapılıyordu. Bu kampanya ise piksel hassasiyetinde kopyalar, iyi yazılmış metinler ve haftalar öncesinden alınmış, SSL sertifikalı, temiz alan adları kullandı.
İkincisi, meşru görünümlü aciliyet ifadesi. "Zorunlu 2026 güncellemesi" mesajı, kullanıcıların gerçek yazılım ürünlerinden yıllardır gördüğü bir kategori. Dil, kullanıcıların hızlıca şüphe etmeden geçebileceği kadar sıradan. Sahte bildirim kullanıcıyı tehdit etmedi, ücretsiz token vaadinde bulunmadı, tohum ifadeleri istemedi. Sadece doğrulama talep etti.
Üçüncüsü, zincirler arası kapsama. Drainer sözleşmeleri aynı anda Ethereum, Polygon, Arbitrum ve Base üzerinde dağıtıldı; imza anında mağdur hangi zincirde bağlıysa hedef adres ona uygun çözülüyordu. Önceki saldırılar genellikle sadece Ethereum'u hedefler ve L2 kullanıcılarını göz ardı ederdi.
ZachXBT Saldırıları Nasıl Takip Etti?
Zincir üstü adli analizde saldırılar standart bir örüntüyü izledi. ZachXBT, ilk drainer sözleşmesini Ethereum üzerinde tespit etti ve işlem geçmişinden fonlayan cüzdanı buldu. Fonlayan cüzdan, tek bir sıcak cüzdandan gelen küçük "gas drip" transferleriyle finanse edilmişti ve bu sıcak cüzdan, Polygon, Arbitrum ve Base üzerinde ilgili drainer sözleşmelerini de fonlamıştı. Sıcak cüzdan, kampanyadan üç hafta önce merkeziyetsiz bir borsadan çekim yoluyla doldurulmuştu.
Borsa çekim izi genellikle incelemeyi tıkayan noktadır. Söz konusu borsa, KYC istemeyen ve kolluk kuvveti taleplerine yanıt vermeyen yurtdışı bir platform. Takip gücü burada son buluyor. ZachXBT'ye göre kampanya, altyapısı başkalarına kiralanan, boşaltıcı sözleşme ve alan adı rotasyonu sağlayan ve gelirden %20-30 komisyon alan bir ekip tarafından yürütülüyor olabilir.
Donanım Cüzdanı Kullanmak Mağdurları Nasıl Koruyabilirdi?
Mağdur cüzdanlarının ortak noktası neredeyse tamamının sıcak cüzdan olması. MetaMask tarayıcı eklentileri, mobil cüzdan uygulamaları ve yazılım cüzdanları. MetaMask'a bağlı bir donanım cüzdanı (Ledger veya Trezor), imza yayınlanmadan önce işlemin fiziksel cihazda onaylanmasını gerektirir. Kullanıcı cihaz ekranında tanımadığı bir sözleşmeye setApprovalForAll isteğini görürse işlemi reddedebilir.
Donanım cüzdanı kullanmanın temel argümanı budur. Boşaltıcı sözleşme imza isteği gönderse de, kullanıcı bunu ekranda aktif olarak onaylamadan işlem gerçekleşmez. Günlük DeFi kullanan donanım cüzdanı sahipleri genellikle tarayıcıda rastgele tıklamaktan daha yavaş davranır. Bu sürtünme koruyucu bir özelliktir.
Yazılım tarafında da önlem mevcut. MetaMask ve çoğu önde gelen cüzdan arayüzü artık işlem öncesi simülasyon ön izlemesi sunuyor ve onay isteğini, sınırsız harcama izinlerini kullanıcıya gösteriyor. Ön izleme yeni sürümlerde varsayılan olarak etkin. Eski sürüm kullananlar veya ön izlemeyi okumadan tıklayanlar ise risk altında kalanlar oldu.
EVM Kullanıcıları Bu Hafta Neler Yapmalı?
Savunma önlemleri kısa ve yenilikçi değil. Phemex'in kripto para güvenlik kontrol listesi tam yol haritasını içeriyor. E-posta veya bildirim yoluyla gelen her "zorunlu güncelleme" veya "doğrulama" mesajını varsayılan olarak kimlik avı denemesi olarak değerlendirin. Gerçek cüzdan yazılımı güncellemeleri cüzdanın kendisinde gerçekleşir, harici bağlantılarla değil. Bir isteğin gerçek olup olmadığından şüphe duyarsanız, resmi adresi tarayıcıya elle yazın, bağlantıya tıklamayın.
Kullanılmayan token onaylarını iptal edin. Ücretsiz Revoke.cash aracı cüzdanınızı tarar ve tüm aktif izinleri gösterir. Aylar önce kullanıp artık kullanmadığınız protokollerle kurduğunuz onaylar saldırı yüzeyi oluşturur. Bunları iptal edin ve sadece aktif kullandıklarınızı tekrar yetkilendirin. Azımsanmayacak miktarda kripto tutan adresler için donanım cüzdanı kullanın. Donanım cüzdanınız yoksa, en azından sadece kripto için kullanılan eklentisiz ayrı bir tarayıcı profili kullanın.
İmzalanan işlemleri dikkatlice okuyun. setApprovalForAll veya permit gibi imzaların tam metni, onay verilen sözleşme adresini ve izin kapsamını gösterir. Sözleşme adresi tanıdık gelmiyorsa ve izin sınırsızsa, işlemi reddetmek en doğrusudur.
Sıkça Sorulan Sorular
Mağdurlar arasında olup olmadığımı nasıl anlarım?
Son 10 gün içinde tanımadığınız herhangi bir çıkış işlemi veya onaya bakın. Etherscan token onayları aracı adresinizdeki tüm aktif onayları listeler. Tanımadığınız bir sözleşmeye onay verdiyseniz bu durum risk oluşturur. Bir boşaltma işlemi görüyorsanız, fonlar büyük olasılıkla çoktan taşınmıştır; yine de durumu ZachXBT'ye ve yerel kolluk kuvvetlerine bildirin.
MetaMask neden bu alan adlarını tamamen engellemiyor?
MetaMask kimlik avı alan adları için engelleme listesi bulundurur ve yeni alan adlarını bildirildikçe ekler. Ancak kampanya, yeni alan adlarını engelleme listesinin güncellenme hızından daha hızlı değiştiriyor. Engelleme listesi kısmi bir savunmadır.
L2 cüzdanlar ana ağdan daha mı güvenli?
Hayır. Bu kampanyadaki boşaltıcı sözleşmeler tüm EVM zincirlerinde çalışıyor. L2'lerde gaz ücretleri daha düşük olduğu için küçük bakiyeler için caziptir ama saldırı yüzeyi aynıdır.
Fonlarımı merkezi bir borsaya taşımak daha mı güvenli olur?
Tehdit modelinize bağlı. Sigortası, soğuk depolaması ve rezerv kanıtı olan saygın merkezi saklama hizmetleri kimlik avı riskini ortadan kaldırsa da, karşı taraf ve platform riski ekler. Çoğu kullanıcı için en iyi uygulama, uzun vadeli depolama için donanım cüzdanı, günlük kullanım için küçük sıcak cüzdan ve aktif ticaret için saygın bir saklayıcıdır.
Sonuç
Kampanya bir haftada 400'den fazla cüzdanda 9 milyon dolardan fazla zarara yol açtı. Boşaltıcı altyapı hâlâ aktif, alan adı rotasyonu sürüyor ve taklit kalitesi yüksek olduğu için yöntem popülerliğini koruyacak gibi görünüyor. Savunma adımları yeni değil: donanım cüzdanı kullanımı, "zorunlu güncelleme" mesajlarına temkinli yaklaşım, onayların düzenli iptali ve işlem ön izlemelerinin dikkatlice okunması. Önümüzdeki iki hafta içinde saldırganların Rabby, Phantom, Trust gibi diğer cüzdanları taklit etmeye yönelmesi bekleniyor. Bir sonraki cüzdan güncellemesi e-postasına, banka şifrenizi isteyen bir yabancı gibi yaklaşın.
Bu makale yalnızca bilgilendirme amaçlıdır ve finansal veya yatırım tavsiyesi niteliği taşımaz. Kripto para ticareti önemli riskler içerir. Her zaman kendi araştırmanızı yapınız.
