Trust Wallet’a saldırı: Milyonlarca dolar sızdırıldı

"Merkeziyetsiz ve güvenli" sloganıyla yola çıkan ve milyonlara ulaşan Trust Wallet’ın tarayıcı eklentisindeki bir hata, 6,7 milyon dolarlık bir soygunun kapısını araladı.

Bu da oldu: Ahır görünümünde tesiste kaçak elektrikle kripto ürettiler

Popüler kripto para cüzdanı Trust Wallet, ciddi bir güvenlik ihlaliyle sarsıldı. 24 Aralık’ta yayımlanan bir güncellemenin ardından başlayan saldırılarda, yüzlerce kullanıcının cüzdan bakiyelerinin sıfırlandığı tespit edildi. Blok zinciri araştırmacısı ZachXBT tarafından yapılan incelemelere göre, çalınan toplam varlık tutarı 6 milyon doları aşmış durumda.

Trust Wallet ekibi tarafından yapılan resmi açıklamada, söz konusu güvenlik açığının yalnızca tarayıcı eklentisinin 2.68 sürümüyle sınırlı olduğu bildirildi.

Kripto para platformu, varlıklarını taşıyanlara %5 ödül veriyor

Mobil uygulama kullanıcılarının bu saldırıdan etkilenmediği kaydedilirken, eklentiyi kullanan milyonlarca kişiye "derhal 2.69 sürümüne geçiş yapılması" çağrısı yapıldı. Saldırının, güncellemeden hemen sonra başladığı ve günlerce fark edilmeden devam ettiği saptandı.

Güvenlik uzmanlarının analizlerine göre, saldırganlar eklentiye "phishing redirect" olarak bilinen gizli bir yönlendirme kodu eklemeyi başardı. Bu yöntemle, kullanıcılar bozuk sürüm üzerinden gizli anahtarlarını (seed phrase) girdikleri anda tüm yetkiyi saldırganlara devretmiş oldu. Özellikle eski cüzdanlarını aktive etmek isteyen veya yeni hesap oluşturan yatırımcıların doğrudan hedef alındığı belirtildi.

Blok zinciri verileri, saldırının Ethereum, Bitcoin ve Solana ağlarını kapsayan geniş bir alana yayıldığını gösterdi. Bazı kullanıcıların yıllardır muhafaza ettikleri Bitcoin’lerini kaybettiği, Ethereum ağındaki fonların ise saldırganlar tarafından belirli ara adreslerde toplandığı izlendi.

Toplam kaybın 6,77 milyon dolara ulaştığı, bu miktarın 2,35 milyon dolarının hala saldırganın kontrolündeki aktif adreslerde bekletildiği rapor edildi.

Olayın ardından Binance’in kurucusu ve eski CEO’su Changpeng “CZ” Zhao’dan bir açıklama geldi. Zhao, yaşanan mağduriyetlerin ardından tüm kullanıcı zararlarının telafi edileceğini duyurdu.

Bu da oldu: Ahır görünümünde tesiste kaçak elektrikle kripto ürettiler

Trust Wallet yönetimi ise, hatalı sürümün resmi mağaza onaylarından nasıl geçtiğini ve bunun bir "tedarik zinciri saldırısı" olup olmadığını araştırmaya devam ettiklerini bildirdi.

Kripto para uzmanları, bu tür olayların ekosistemdeki en tehlikeli saldırı türlerinden biri olduğuna dikkat çekti. Cüzdan altyapıları genellikle korunaklı olsa da, tarayıcı eklentisi gibi arayüzlerin kötü amaçlı yazılımlara maruz kalmasının geri döndürülemez kayıplara yol açabildiği vurgulandı. Yatırımcıların, özel anahtarlarını girmeden önce kullandıkları yazılımın güncelliğini ve orijinalliğini kontrol etmelerinin hayati önem taşıdığı ifade edildi.