Kim: Yüzlerce kripto para kullanıcısı ve Trust Wallet.
Ne: Güvenlik açığı nedeniyle milyonlarca dolarlık kripto para çalındı.
Nerede: Trust Wallet tarayıcı eklentisi.
Ne zaman: 24 Aralık'ta yayımlanan güncellemenin ardından.
Neden: Eklentiye gizli bir yönlendirme (phishing redirect) eklenmesi.
Nasıl: Kullanıcıların özel anahtarlarını (seed phrase) girmesiyle cüzdanları boşaltıldı.
Güvenlik Açığı ve Saldırının Detayları
Popüler kripto para cüzdanı Trust Wallet, ciddi bir güvenlik zafiyetiyle karşı karşıya kaldı. Blok zinciri araştırmacısı ZachXBT'nin tespitlerine göre, bu açık sonucunda 6 milyon doların üzerinde değere sahip kripto varlık çalındı. Saldırının, 24 Aralık tarihinde kullanıma sunulan tarayıcı eklentisinin 2.68 sürümünde ortaya çıktığı belirlendi. Trust Wallet yetkilileri, sorunun yalnızca bu spesifik sürümle sınırlı olduğunu ve mobil uygulamaların etkilenmediğini vurguladı. Kullanıcılara, derhal tarayıcı eklentisini devre dışı bırakmaları ve en kısa sürede 2.69 sürümüne güncellemeleri yönünde acil çağrıda bulunuldu.
Saldırının Mekanizması ve Etkileri
Saldırının, 2.68 sürümünün yayınlanmasından kısa bir süre sonra başladığı ve günlerce fark edilmeden devam ettiği anlaşıldı. Yapılan incelemeler, güvenlik açığının, eklentiye gizlice eklenen bir yönlendirme koduyla oluşturulduğunu ortaya koydu. Bu bozuk sürümü kullanan kullanıcılar, özel anahtarlarını (seed phrase) girdiklerinde, cüzdanlarındaki tüm varlıkları kaybettiler. Trust Wallet, özellikle eski cüzdanları aktive etmek veya yeni cüzdanlar oluşturmak amacıyla bu hatalı sürümün kullanılmasının büyük risk taşıdığını belirtti. Bu durum, kripto ekosisteminde son derece tehlikeli bir saldırı türü olarak değerlendiriliyor.
Etkilenen Ağlar ve Çalınan Varlıklar
ZachXBT'nin paylaştığı verilere göre, saldırıdan Ethereum, Bitcoin ve Solana ağlarındaki yüzlerce cüzdan etkilendi. Bazı kullanıcıların, yıllardır dokunmadıkları Bitcoin'lerinin bile küçük miktarlar halinde çalındığı rapor edildi. Ethereum ağında ise çalınan fonların, saldırgan tarafından ara adreslerde toplandığı gözlemlendi. Çalınan varlıkların bir kısmının ChangeNOW, FixedFloat, KuCoin ve HTX gibi merkezi borsalar üzerinden transfer edildiği tespit edildi. Toplam kaybın 6,77 milyon dolara ulaştığı ve bu miktarın 2,35 milyon dolarının hala saldırganın kontrolünde olduğu bildirildi.
Tazminat ve Soruşturma Süreci
Binance'in kurucusu ve eski CEO'su Changpeng “CZ” Zhao, yaşanan bu olayın ardından önemli bir açıklama yaptı. Zhao, tüm kullanıcı zararlarının karşılanacağını duyurdu. Bu gelişme, mağdur kullanıcılar için bir nebze olsun rahatlama sağladı. Trust Wallet ekibi ise, hatalı sürümün resmi mağazalara nasıl sızdığı ve olayın bir tedarik zinciri saldırısı olup olmadığına dair kapsamlı bir soruşturma başlattı. Bu tür saldırıların önlenmesi için ekosistemdeki güvenlik protokollerinin güçlendirilmesi gerektiği vurgulanıyor. Kripto para dünyasında güvenliğin ne kadar kritik olduğunu bir kez daha gözler önüne seren bu olay, kullanıcıları daha dikkatli olmaya teşvik ediyor. Güvenlik açıkları ve kötü amaçlı yazılımlar, özel anahtarların tehlikeye girmesi durumunda geri döndürülemez kayıplara yol açabiliyor. Bu nedenle, kullanıcıların cüzdanlarını güncel tutmaları ve şüpheli bağlantılara karşı dikkatli olmaları büyük önem taşıyor. Detaylı bilgi için kripto para borsaları ve cüzdan güvenliği hakkında Wikipedia'dan bilgi alabilirsiniz.