Haberler 
Coin Bilgisi 
Hakkımızda 
Dünyanın en büyük JavaScript kod deposu olan npm’de yaşanan şimdiye kadarki 'en büyük tedarik zinciri saldırısı'nın ardından önde gelen kripto şirketleri resmi açıklamalar yaptı. Polygon(MATIC), Ledger ve Trezor, söz konusu saldırıdan herhangi bir zarar görmediklerini belirterek kullanıcılarına güvence verdi.
Polygon, 8 Eylül’de (yerel saatle) meydana gelen npm saldırısıyla ilgili olarak yaptığı açıklamada, platformun teknik altyapısının *tamamen güvende* olduğunu vurguladı. Açıklamada, Polygon blokzincirinin temelini oluşturan 'Polygon PoS' ve 'Agglayer' sistemlerinin hiçbir güvenlik tehdidi altında olmadığının da altı çizildi. Ethereum Sanal Makinesi (EVM) tabanlı başlıca Katman-2 projelerinden biri olan Polygon’un, çok sayıda geliştirici ve merkeziyetsiz uygulama (dApp) tarafından kullanıldığı biliniyor.
Yaşanan saldırıyı ilk kez kamuoyuna duyuran isim ise fiziksel cüzdan üreticisi Ledger’ın Teknoloji Sorumlusu Charles Guillemet(Charles Guillemet) oldu. Ledger, yayınladığı açıklamada "Saldırı kripto ekosisteminin geneline yönelmiş olsa da, hiçbir Ledger cihazı bu istismarın etkisi altına girmedi. Sistemlerimiz zaten bu tür saldırılara karşı dayanıklı olacak şekilde tasarlandı" ifadelerine yer verdi.
Trezor da aynı gün yaptığı açıklamada tüm donanım cüzdanlarının ve yazılım araçlarının güvenli olduğunu ifade etti. Özellikle cihazların bilgisayara bağlanırken kullanılan 'Trezor Suite' uygulamasının da saldırıya dahil edilmediği vurgulandı.
Söz konusu saldırı; popüler bir JavaScript geliştiricisinin npm hesabının ele geçirilmesiyle başladı. Saldırganlar, içerisine *clipper* türü kötü amaçlı yazılım yerleştirdikleri sahte bir npm paketi yükledi. Bu kötü amaçlı yazılım, kripto para transferlerinde cüzdan adreslerini gizlice değiştirerek kullanıcıların göndermek istediği varlıkların hacker’a ait cüzdanlara aktarılmasına neden oluyordu.
JavaScript, yazılım geliştirme, web uygulamaları ve blokzincir projelerinde yaygın biçimde kullanılıyor. Bu sebeple kötü amaçlı npm paketinin milyarlarca kez indirilebilmiş olabileceği düşünülüyor. Kripto topluluğu tarafından da bu saldırı *“kripto tarihindeki en büyük tedarik zinciri istismarı”* olarak yorumlanıyor.
Uzmanlar, bu olayın ardından kullanıcıların Web3 cüzdanlarıyla işlem yaparken ya da zincir üzerindeki transferleri onaylarken, *alıcı cüzdan adresini dikkatle doğrulamaları* ve şüpheli izinlerden uzak durmaları gerektiği uyarısında bulundu.
Bu olay, *kripto güvenliğinde bireysel dikkat ve farkındalığın* her zamankinden daha önemli olduğuna işaret eden çarpıcı bir örnek olarak hafızalarda yer edebilir.
Yorum 0