Approval Phishing Nedir?

Approval phishing saldırıları, kullanıcıların farkında olmadan verdikleri onaylar üzerinden fon kaybına yol açıyor. Bu yazı, sahte onay ekranlarının nasıl çalıştığını, saldırıların neden sessiz ilerlediğini ve kullanıcıların bu riski nasıl azaltabileceğini ele alıyor.

Kripto dünyasında yaşanan kayıpların önemli bir bölümü artık “hack” kelimesiyle açıklanamıyor. Ne bir protokol açığı var, ne zincir üstü bir exploit, ne de sisteme zorla yapılan bir müdahale. Buna rağmen kullanıcılar fonlarını kaybediyor. Üstelik çoğu zaman, neyi yanlış yaptıklarını bile anlayamadan.

Son 48 saatlik güvenlik izleme raporlarında öne çıkan tablo tam olarak bunu gösteriyor. Büyük bir borsa ya da DeFi protokolünün hacklendiğine dair bir manşet yok. Ancak zincir üstü analizlerde, aynı saldırı deseninin farklı kullanıcılar üzerinde tekrar tekrar denendiği görülüyor. Bu desenin adı ise giderek daha sık duyulmaya başlandı: approval phishing.

Bu yazıyı bu hafta seçmemizin sebebi de bu. Ortada tekil bir “olay”dan ziyade, aktif olarak sahada çalışan ve ölçeklenebilir bir risk modeli var. Yani sorun geçmişte yaşanmış bir vaka değil; bugün, şu anda devam eden bir tehdit.

Approval Phishing Nedir ve Neden Daha Tehlikeli?

Approval phishing, kullanıcının cüzdanında yaptığı bir yetkilendirme (approve) işlemini hedef alan saldırı modelidir. Buradaki kritik fark şudur: saldırgan, kullanıcının cüzdanına izinsiz girmez. Onun yerine, kullanıcıya kendi varlıkları üzerinde işlem yapma yetkisini bizzat verdirtir.

Klasik phishing saldırılarında amaç çoğu zaman nettir: sahte bir arayüz üzerinden kullanıcıyı kandırmak, özel anahtarını ele geçirmek veya doğrudan fon çekmek.

Approval phishing’te ise her şey çok daha “temiz” ilerler. Çünkü saldırganın yaptığı işlem, zincir açısından bakıldığında tamamen geçerlidir.

Kullanıcı onayı vardır. İmza gerçektir. İşlem kurallara uygundur. Bu da approval phishing’i yalnızca teknik değil, aynı zamanda davranışsal bir güvenlik problemi hâline getirir.

Neden Son 48 Saatte Bu Saldırı Modeli Öne Çıktı?

Bu hafta güvenlik ekiplerinin dikkatini çeken şey, büyük bir hack vakası değil; aynı onay kalıbının farklı adreslerde ve farklı arayüzlerde tekrar edilmesi oldu. Zincir üstü analizlerde şu ortak noktalar tespit edildi:

• Yeni deploy edilmiş kontratların kısa sürede çok sayıda approve çağrısı alması
• Kullanıcının onay verdiği an ile varlık transferi arasında bilinçli bir zaman farkı olması
• Aynı onay yapısının farklı phishing sitelerinde birebir kullanılması

Bu tür tespitler genellikle olay bittikten sonra değil, olay devam ederken fark edilir. Yani burada söz konusu olan şey geriye dönük bir raporlama değil; aktif bir saldırı modelinin izlenmesidir. Bu da şu soruyu önemli kılıyor: Kullanıcı, neyi onayladığını gerçekten biliyor mu?

Sahte Onay Ekranları Nasıl İnşa Ediliyor?

Approval phishing saldırılarında en kritik unsur, onay ekranının kullanıcıya “zararsız” hissettirmesidir.

Saldırganlar bu nedenle özellikle şu yöntemleri kullanır:

• Bilinen DApp ve NFT platformlarının arayüzlerine birebir benzeyen tasarımlar
• Teknik detayların gizlendiği sade işlem pencereleri
• “Verification”, “Read-only”, “Gas free” gibi güven telkin eden ifadeler

Kullanıcı bu ekranla karşılaştığında, yaptığı işlemi çoğu zaman şöyle yorumlar: Oysa arka planda verilen onay, token’lar ya da NFT’ler üzerinde süresiz ve geniş kapsamlı bir yetki anlamına gelir. Kullanıcı bunu fark ettiğinde ise çoğu zaman çok geçtir.

Saldırı Neden Hemen Fark Edilmiyor?

Approval phishing saldırılarının en tehlikeli taraflarından biri de zamanlama stratejisidir. Saldırgan, yetkiyi aldıktan sonra genellikle hemen aksiyon almaz.
Bunun yerine:

• Kullanıcının zinciri aktif olarak takip etmediği bir anı bekler
• Yoğun piyasa hareketlerinin olduğu dönemleri seçer
• Transferi meşru bir işlem gibi gösterecek şekilde planlar

Bu gecikme, kullanıcının onayı verdiği an ile kaybı fark ettiği an arasında ciddi bir kopukluk yaratır. Kullanıcı çoğu zaman “ne zaman hata yaptım?” sorusuna net bir cevap bulamaz.

Kullanıcı Refleksleri Nereden Kırılıyor?

Approval phishing saldırılarının başarısı, çoğu zaman teknik karmaşıklıktan değil; kullanıcıların zaman içinde geliştirdiği reflekslerden besleniyor. Kripto kullanıcıları belirli işlemleri tekrar ettikçe, bazı adımlar “rutin” hâline geliyor ve risk algısı zayıflıyor.

Özellikle yoğun piyasa dönemlerinde, onay ekranları çoğu kullanıcı için bir güvenlik katmanı değil; işlemi tamamlamak için geçilmesi gereken bir formaliteye dönüşüyor. Oysa zincir üzerinde yapılan her approve işlemi, cüzdanın kontrol sınırlarını doğrudan etkileyen kritik bir karar.

Refleks kırılması genellikle şu noktalarda yaşanıyor:

• Daha önce güvenilen bir platforma tekrar bağlanırken temkinin azalması
• “Zaten kullandım” düşüncesiyle onay ekranlarının okunmaması
• Teknik terimlerin karmaşık bulunup detayların atlanması

Saldırganlar da tam olarak bu davranış kalıplarını hedef alıyor. Çünkü kullanıcı, riskli bir şey yaptığını hissetmiyorsa savunma mekanizması da devreye girmiyor.

Kullanıcı için Güvenlik İpuçları

Bu noktada karmaşık teknik önlemlerden önce, günlük kullanımda benimsenebilecek birkaç temel alışkanlık büyük fark yaratıyor:

• Approve işlemini otomatik geçme refleksinden çık. Bu işlem bir formalite değil, yetki devridir.
• Yetkinin kapsamını sorgula. Tek bir işlem mi onaylıyorsun, yoksa süresiz bir erişim mi veriyorsun?
• Acele ettiren arayüzlerde ekstra temkinli ol. “Son saat”, “hemen doğrula” gibi ifadeler çoğu zaman sosyal mühendisliktir.
• Şüpheli bir etkileşimden sonra izinleri kontrol etmeyi alışkanlık hâline getir. Kaybı fark etmek yerine, riski erkenden kapatmak her zaman daha değerlidir.

Bu küçük adımlar, approval phishing gibi sessiz saldırı modellerine karşı en güçlü ilk savunma hattını oluşturur.

Yazarın Notu

Approval phishing, kripto dünyasında güvenliğin artık yalnızca kod incelemekle sağlanamayacağını net biçimde gösteriyor. Zincir ne kadar sağlam olursa olsun, kullanıcı karar anında yanlış bir refleks gösterdiğinde risk kaçınılmaz hâle geliyor.

Kripto dünyasında güvenlik tartışmaları çoğu zaman sistemler ve protokoller üzerinden yürütülür; oysa gerçek kırılma noktası, kullanıcının onay verdiği o kısa anda ortaya çıkar. Zincirler, akıllı kontratlar ve altyapılar giderek daha sofistike hâle gelirken, kullanıcı tarafındaki karar mekanizması aynı hızda gelişmediğinde risk kaçınılmaz hâle gelir. Approval phishing gibi saldırı modelleri de tam olarak bu boşluğu hedef alır: teknik bir açık aramaz, alışkanlıkları istismar eder.

Bu nedenle kriptoda güvenliği yalnızca “hangi protokol güvenli?” sorusuyla sınırlamak yeterli değildir. Asıl kritik soru şudur: Bir işlemi onaylarken, neyi devreye soktuğunuzu gerçekten biliyor musunuz?

Gate TR Akademi’de yer alan güvenlik içerikleri, kullanıcıyı bu soruyla baş başa bırakmak ve karar anındaki farkındalığı güçlendirmek için hazırlandı.

Bir sonraki onay ekranında durup düşünmek, kripto ekosisteminde alınabilecek en stratejik güvenlik önlemlerinden biri olabilir.

Güvenle kalın..

Yazar: Meltem Erdem

Editör: Gate TR Akademi Ekibi