Tehdit aktörleri, özel olarak Atomic ve Exodus cüzdanlarını hedef alarak, kripto sahiplerine yönelik yeni bir siber saldırı dalgası başlattı. Bu saldırılar, kodlama platformlarına yüklenen kötü amaçlı yazılım paketleri üzerinden gerçekleştiriliyor.
Güvenlik araştırmacıları, yaygın kullanılan pdf-to-office gibi npm paketlerine gizlenen bu kötü amaçlı yazılımın, yerel cüzdan dosyalarını manipüle ederek özel anahtarları toplamak üzere tasarlandığı konusunda uyarıyor.
ReversingLabs tarafından yapılan analizlere göre, kötü amaçlı yazılım meşru yazılım gibi görünse de, kurulduktan sonra Atomic ve Exodus cüzdanlarının kullanıcı arayüzünü sessizce değiştiriyor. Bu manipülasyon, kullanıcıları fark edilmeden işlem yeniden yönlendirmeleri yaparak fonları saldırganların kontrolündeki adreslere göndermeleri için kandırıyor.
Bu tür bir yazılım tedarik zinciri saldırısı, kripto alanında giderek tehlikeli hale gelen bir eğilimi vurguluyor. Burada, hacker'lar geliştirme ortamlarına sızarak altyapı seviyesinde istismarlar gerçekleştiriyor.
Bu tür saldırıların ölçeği büyümeye devam ediyor. Sadece 2025'in ilk çeyreğinde, siber güvenlik firması Hacken, kriptoyla ilgili saldırıların ve istismarların 2 milyar doları aşan kayıplara yol açtığını tahmin ediyor. Bu rakamın şaşırtıcı bir 1,4 milyar doları, Şubat ayında gerçekleşen Bybit saldırısından gelmişti - şu anda kripto tarihindeki en büyük saldırı.
Olayın ardından, ihlal edilen SafeWallet - bir cüzdan sağlayıcısı - Mart 2025'te ayrıntılı bir olay sonrası rapor paylaştı. Soruşturmacılar, hacker'ların bir geliştiricinin bilgisayarını ele geçirdiğini ve AWS oturum belirteçlerini çalarak SafeWallet’in dahili sistemlerine sızarak Bybit hırsızlığını koordine ettiklerini ortaya koydu.
Bu arada, başka bir aldatıcı taktik, "adres sahteleme" dolandırıcılığı olarak dikkat çekiyor. Casa'nın genel güvenlik sorumlusu ve tanınmış cypherpunk Jameson Lopp, bu ince ancak etkili istismar konusunda endişelerini yakın zamanda dile getirdi.
Bu saldırılarda, dolandırıcılar genellikle mağdurun işlem geçmişindeki adreslerin ilk ve son birkaç karakterini taklit ederek yanlış adresler oluşturuyor. Daha sonra mağdurun geçmişine sahte adresi yerleştirmek için küçük bir işlem gönderiliyor. Kullanıcı bu adresi fark etmeden tekrar kullandığında, fonları saldırgana yönlendiriliyor.
Blockchain tehditlerini izleyen bir siber güvenlik firması olan Cyvers, sadece Mart 2025'te, adres sahteleme dolandırıcılığı sonucunda 1,2 milyon doların üzerinde kripto paranın çalındığını raporladı.
Tehdit aktörleri, geliştirme araçlarını manipüle etmekten, kullanıcı alışkanlıklarından yararlanmaya çeşitli yöntemlerini evrimleştirirken, siber güvenlik uzmanları kripto ekosisteminin tüm cephelerinde yüksek dikkat çağrısında bulunuyor.