"Merkeziyetsiz ve güvenli" sloganıyla yola çıkan ve milyonlara ulaşan Trust Wallet’ın tarayıcı eklentisindeki bir hata, 6,7 milyon dolarlık bir soygunun kapısını araladı.
Popüler kripto para cüzdanı Trust Wallet, ciddi bir güvenlik ihlaliyle sarsıldı. 24 Aralık’ta yayımlanan bir güncellemenin ardından başlayan saldırılarda, yüzlerce kullanıcının cüzdan bakiyelerinin sıfırlandığı tespit edildi. Blok zinciri araştırmacısı ZachXBT tarafından yapılan incelemelere göre, çalınan toplam varlık tutarı 6 milyon doları aşmış durumda.
SALDIRI TARAYICI EKLENTİSİNDEKİ HATA İLE BAŞLADI
Trust Wallet ekibi tarafından yapılan resmi açıklamada, söz konusu güvenlik açığının yalnızca tarayıcı eklentisinin 2.68 sürümüyle sınırlı olduğu bildirildi.
Mobil uygulama kullanıcılarının bu saldırıdan etkilenmediği kaydedilirken, eklentiyi kullanan milyonlarca kişiye "derhal 2.69 sürümüne geçiş yapılması" çağrısı yapıldı. Saldırının, güncellemeden hemen sonra başladığı ve günlerce fark edilmeden devam ettiği saptandı.
GİZLİ YÖNLENDİRME İLE CÜZDANLAR BOŞALTILDI
Güvenlik uzmanlarının analizlerine göre, saldırganlar eklentiye "phishing redirect" olarak bilinen gizli bir yönlendirme kodu eklemeyi başardı. Bu yöntemle, kullanıcılar bozuk sürüm üzerinden gizli anahtarlarını (seed phrase) girdikleri anda tüm yetkiyi saldırganlara devretmiş oldu. Özellikle eski cüzdanlarını aktive etmek isteyen veya yeni hesap oluşturan yatırımcıların doğrudan hedef alındığı belirtildi.
ETHEREUM, BITCOIN VE SOLANA AĞLARINDA BÜYÜK KAYIP
Blok zinciri verileri, saldırının Ethereum, Bitcoin ve Solana ağlarını kapsayan geniş bir alana yayıldığını gösterdi. Bazı kullanıcıların yıllardır muhafaza ettikleri Bitcoin’lerini kaybettiği, Ethereum ağındaki fonların ise saldırganlar tarafından belirli ara adreslerde toplandığı izlendi.
Toplam kaybın 6,77 milyon dolara ulaştığı, bu miktarın 2,35 milyon dolarının hala saldırganın kontrolündeki aktif adreslerde bekletildiği rapor edildi.
TÜM ZARARLARIN KARŞILANACAĞI AÇIKLANDI
Olayın ardından Binance’in kurucusu ve eski CEO’su Changpeng “CZ” Zhao’dan bir açıklama geldi. Zhao, yaşanan mağduriyetlerin ardından tüm kullanıcı zararlarının telafi edileceğini duyurdu.
Trust Wallet yönetimi ise, hatalı sürümün resmi mağaza onaylarından nasıl geçtiğini ve bunun bir "tedarik zinciri saldırısı" olup olmadığını araştırmaya devam ettiklerini bildirdi.
UZMANLARDAN 'ÖZEL ANAHTAR' UYARISI
Kripto para uzmanları, bu tür olayların ekosistemdeki en tehlikeli saldırı türlerinden biri olduğuna dikkat çekti. Cüzdan altyapıları genellikle korunaklı olsa da, tarayıcı eklentisi gibi arayüzlerin kötü amaçlı yazılımlara maruz kalmasının geri döndürülemez kayıplara yol açabildiği vurgulandı. Yatırımcıların, özel anahtarlarını girmeden önce kullandıkları yazılımın güncelliğini ve orijinalliğini kontrol etmelerinin hayati önem taşıdığı ifade edildi.