Roll Wallet Hack – NFT Üzerinden Gelen Sosyal Mühendislik
Bazı saldırılar bilgisayar kodlarını hedef almaz, insan davranışlarını sömürür. Roll Wallet saldırısı, NFT furyasının ortasında yükselen bir sosyal mühendislik kâbusuydu.
2021’in NFT çılgınlığı döneminde, Roll adındaki sosyal token cüzdanı platformu, içerik üreticileri ve topluluklar arasında hızla yayılıyordu. Kullanıcılar, kendi token’larını oluşturuyor, dağıtıyor ve bunları sosyal medya platformlarıyla entegre edebiliyordu.
İlginizi Çekebilir: Yearn Finance Exploit – Vault’ta Gizli Açık
Ancak 14 Mart 2021’de, Roll platformunda barındırılan cüzdanlarda kilitlenmiş tüm varlıklar bir gecede boşaltıldı. Zarar: yaklaşık 5.7 milyon dolar.
Bu saldırı, klasik bir akıllı kontrat açığı değil, özel anahtar sızıntısı ile yapılan sofistike bir içeriden saldırıydı.
Saldırgan, Roll’un sıcak cüzdanlarına erişim sağlayan private key’leri ele geçirmişti.
İlk bakışta, güvenlik ihlali sistematik görünüyordu. Ama detaylar açıldıkça gerçek ortaya çıktı:
Roll ekosistemi içinde çalışan bir geliştirici, kullanıcıları kandırmak için NFT airdrop kampanyaları taklidi yapmıştı.
Sahte web siteleri ve “Roll tarafından doğrulandı” etiketli sahte Discord botlarıyla kullanıcılar, cüzdanlarını bağlamaya ve imza vermeye ikna ediliyordu.
Bu sosyal mühendislik kampanyaları sayesinde, saldırgan sistemdeki kilitli token’lara dair tüm izinleri topladı.
Roll’un sıcak cüzdan yönetimi altyapısı zaten merkeziydi — bu da işleri kolaylaştırdı.
Elde edilen erişimle Roll üzerindeki sosyal token’lar — $WHALE, $ALEX, $JAM gibi popüler coin’ler — sistematik biçimde boşaltıldı ve borsalara gönderildi.
Olay sonrası Roll ekibi şu açıklamayı yaptı:
“Bu bir kod açığı değil, güven zincirimizin kırıldığı bir saldırıdır.”
Saldırı sonrası Roll, fon kurtarma programı başlattı. Bazı token’ların yeniden basılmasını önerdi. Ancak sosyal token ekonomisinde bu durum büyük bir güven kaybına neden oldu.
Bazı içerik üreticileri platformdan tamamen çekildi. Topluluklar dağıldı. En önemlisi: insanların “imza atmak” konusundaki güveni sarsıldı.
Bu saldırı Web3 dünyasında şu temel dersi verdi:
Güvenlik sadece kod değil, iletişimdir.
Sosyal mühendislik, yazılımın dışındaki en tehlikeli virüstür.