Trust Wallet, yaklaşık 7 milyon dolar değerinde kripto paranın ele geçirilmiş bir tarayıcı eklentisi güncellemesi üzerinden çalındığını doğruladı.
İhlal, yalnızca 24 Aralık’ta yayınlanan Chrome eklentisinin 2.68 sürümünü etkiledi.
Şirkete göre mobil cüzdan kullanıcıları etkilenmedi.
Trust Wallet’ın sahibi olan Binance’in kurucusu Changpeng Zhao, cüzdanın etkilenen tüm kullanıcıları tazmin edeceğini söyledi.
Zhao, X’te şunları yazdı: “Şu ana kadar bu hack’ten etkilenen miktar 7 milyon dolar. Trust Wallet karşılayacak. Kullanıcı fonları SAFU.”
Ne Oldu?
Blockchain araştırmacısı ZachXBT, Trust Wallet kullanıcılarından gelen hızlı fon boşaltma raporları üzerine olayı ilk olarak 25 Aralık’ta gündeme getirdi.
Kayıplar, eklenti güncellemesinden sonraki saatler içinde gerçekleşti; bu da bir tedarik zinciri saldırısını işaret ediyor.
Güvenlik firması SlowMist, kötü amaçlı kodu analiz etti ve bunun ele geçirilmiş bir üçüncü taraf kütüphanesi üzerinden değil, doğrudan Trust Wallet’ın kaynak koduna enjekte edildiğini tespit etti.
Arka kapı kodu, cüzdanlar kilidi açıldığında kullanıcıların şifrelenmiş tohum (seed) ifadelerini topluyor ve ardından veriyi 8 Aralık’ta kaydedilmiş, saldırgan kontrolündeki bir alan adına gönderiyordu.
SlowMist’in analizine göre saldırganlar, kötü amaçlı güncelleme yayımlanmadan en az iki hafta önce hazırlıklara başladı.
Çalınan fonlar; Bitcoin, Ethereum ve birden fazla blockchain ağındaki varlıkları içeriyordu.
Bazı bireysel kullanıcılar, cüzdan erişiminden sonraki dakikalar içinde 300.000 doları aşan kayıplar bildirdi.
Trust Wallet, kullanıcıları derhal 2.68 sürümünü devre dışı bırakmaya ve resmi Chrome Web Mağazası üzerinden yamalı 2.69 sürümüne yükseltmeye çağırdı.
Ayrıca oku: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Neden Önemli?
Olay, endüstrinin korumaları güçlendirme çabalarına rağmen, tarayıcı tabanlı kripto para cüzdanlarındaki kalıcı güvenlik açıklarını gözler önüne seriyor.
Bireysel kullanıcıları kimlik avı yoluyla hedef alan saldırıların aksine, bu saldırı Trust Wallet’ın resmi dağıtım kanalına sızarak doğru güvenlik uygulamalarını takip eden kullanıcıları bile etkiledi.
Kripto para altyapısını hedef alan tedarik zinciri saldırıları, 2024’te keskin biçimde arttı.
Blockchain güvenlik firması Chainalysis, kripto para hırsızlığının Aralık başına kadar 3,41 milyar doları aştığını, 2023’ün tamamında ise 3,38 milyar dolar olduğunu bildirdi.
Trust Wallet ihlali, cüzdanın tarayıcı eklentisi için ikinci büyük güvenlik sorunu anlamına geliyor.
2023’te, donanım cüzdan üreticisi Ledger’ın güvenlik ekibi, Trust Wallet’ın Chrome eklentisinde güvenliği 256 bitten yalnızca 32 bit entropiye düşüren kritik bir güvenlik açığı keşfetti.
Ledger CTO’su Charles Guillemet, 2023’teki açığın saldırganların kullanıcı etkileşimi olmadan cüzdanları boşaltmasına olanak tanıyabileceğini söyledi.
Bu güvenlik açığı, geniş çaplı istismar gerçekleşmeden önce tespit edilip giderildi.
Son olay, özel anahtarları çevrimdışı saklayan donanım cüzdanlarının, kayda değer miktarda kripto para tutmak için hâlâ en güvenli seçenek olduğunu bir kez daha vurguluyor.
Tarayıcı eklentileri, geniş sistem izinleri gerektirir ve hem eklenti kodunun hem de kullanıcının bilgisayarının güvenliğine bağlıdır; bu da birden fazla potansiyel saldırı vektörü oluşturur.
Ayrıca oku: SHIB Price Defies 5,000% Long-Biased Liquidation Wave