Kripto para cüzdanı kullanıcılarını yakından ilgilendiren ciddi bir güvenlik olayı, yılın sonuna gelirken gündeme geldi. Birçok blockchaini destekleyen kripto cüzdan sağlayıcısı Trust Wallet, tarayıcı eklentisinin belirli bir sürümünde tespit edilen açık nedeniyle 6 milyon doları aşan bir kaybın yaşandığını doğruladı. Olayın yalnızca Trust Wallet tarayıcı eklentisinin 2.68 sürümünü etkilediği, mobil uygulama kullanıcılarının ve diğer sürümlerin bu sorundan etkilenmediği özellikle vurgulandı.
Trust Wallet açıklama yaptı
Şirketin paylaştığı bilgilere göre güvenlik açığı ilk olarak 24 Aralık’ta fark edildi. 25 Aralık itibarıyla zincir üstü veriler, Bitcoin, Ethereum ve Solana ağları dahil olmak üzere birçok farklı blockchainde cüzdanlardan izinsiz fon çıkışlarının gerçekleştiğini ortaya koydu. Kısa süre içinde yüzlerce kullanıcı, cüzdan bakiyelerinin aniden sıfırlandığını ya da ciddi şekilde azaldığını bildirmeye başladı.
Olayın kamuoyunda geniş yankı bulmasında, blockchain araştırmacısı ZachXBT’nin paylaşımları etkili oldu. ZachXBT, Noel günü ve sonrasında kendisine ulaşan yüzlerce mesajda kullanıcıların benzer şekilde mağdur olduğunu aktardı. Yapılan topluluk incelemelerinde, tarayıcı eklentisinin 2.68 sürümüne kötü amaçlı kod sızdırıldığı ve bu kodun kullanıcı verilerini sahte bir internet adresine yönlendirdiği tespit edildi. Bu sayede saldırganların seed phrase bilgilerine erişerek cüzdanları boşalttığı değerlendiriliyor.
Trust Wallet, yaşanan güvenlik ihlalini resmen kabul ederek kullanıcıları acil önlem almaya çağırdı. Şirket, 2.68 sürümünün derhal devre dışı bırakılmasını ve yalnızca resmi Chrome Web Store üzerinden yayımlanan 2.69 sürümüne güncelleme yapılmasını istedi. Trust Wallet’a göre 2.69 sürümü güvenli ve sorunu içermiyor. Ayrıca destek ekibinin mağdur kullanıcılarla tek tek iletişime geçtiği ve olayın detaylarını araştırdığı belirtildi. Şu aşamada herhangi bir tazminat planı açıklanmış değil ancak etkilenen kullanıcıların bir yol haritası doğrultusunda yönlendirildiği ifade ediliyor.
Zincir üstü analiz platformu Arkham tarafından paylaşılan veriler de saldırının boyutunu gözler önüne serdi. Buna göre saldırganlar, birden fazla alıcı adres kullanarak çalınan fonları farklı cüzdanlara dağıttı ve iz sürmeyi zorlaştırdı. Kayıpların büyük kısmının SOL, BTC ve EVM uyumlu token’lar üzerinden gerçekleştiği bildiriliyor.
Mağdur kullanıcıların paylaşımları, olayın psikolojik etkisini de ortaya koydu. Sosyal medyada yapılan bazı açıklamalarda, bir kullanıcının Noel tatilinden döndüğünde 300 bin dolardan fazla varlığını kaybettiğini fark ettiği ve işlemlerin yalnızca birkaç dakika içinde gerçekleştiği aktarıldı. Her ne kadar bazı hesapların güvenilirliği sorgulansa da, genel tablo yüzlerce kullanıcının benzer bir senaryo yaşadığını gösteriyor.
Genel olarak tarayıcı eklentileri; web sayfalarına, çerezlere ve tarama verilerine yüksek erişim yetkisine sahip olduğu için kötüye kullanıldığında ciddi güvenlik açıkları doğurabiliyor. Nitekim yılın başlarında da onlarca sahte kripto cüzdan eklentisinin kullanıcı anahtarlarını çaldığına dair raporlar yayımlanmıştı. Trust Wallet cephesi ise soruşturmanın sürdüğünü ve yeni gelişmeler oldukça kamuoyunun bilgilendirileceğini söylüyor.
TWT token fiyatı gelişmeden oldukça az etkilendi
Bu sırada, Trust Wallet cüzdan ekosistemine ait TWT coin, çalıntı haberlerinin çıktığı ilk saatlerde hafif bir düşüş yaşasa da, yazım sırasında toparlanmış durumda. 0.8 dolar civarında işlem görüyor.
