Trust Wallet eklentisinde büyük güvenlik açığı: 7 milyon dolarlık kayıp

Trust Wallet’ın tarayıcı eklentisinde yaşanan güvenlik ihlali, yüzlerce kullanıcıyı etkileyerek yaklaşık 7 milyon dolarlık kayba yol açtı. Özellikle 2.68 sürümünü kullananların hedef alındığı bu siber saldırı, kripto topluluğunda ciddi endişe yarattı. Binance’ın kurucusu ve Trust Wallet’ın sahibi olan Changpeng Zhao(CZ), tüm zararların karşılanacağını söylerken, olayda ‘içeriden birinin’ dâhil olabileceğini de ima etti.

24’ünde (yerel saatle), on-chain araştırmacı ZachXBT, Trust Wallet kullanıcılarının kısa süre içinde toplu şekilde varlık kaybettiğini belirterek topluluğu uyardı. Ardından blokzinciri güvenlik şirketi SlowMist, eklentinin 2.68 sürümünde bir güvenlik açığını doğruladı. Şirket, saldırganın tarayıcı eklentisine kötü amaçlı yazılım enjekte ettiği ve kullanıcıların cüzdanlarını kilit açtığı anda ‘seed phrase’ yani gizli kurtarma anahtarlarını ele geçirerek kötü amaçlı bir siteye aktardığını açıkladı. Bu tür saldırılar genellikle ‘tedarik zinciri saldırısı’ olarak sınıflandırılıyor.

SlowMist, kullanıcıların tarayıcı eklentisini derhal devre dışı bırakmasını ve Google Chrome Web Mağazası üzerinden en güncel 2.69 sürümüne geçmesini önerdi. Ayrıca olayın, sahte bir yazılım güncellemesi süreciyle cüzdanlara sızma şeklinde gerçekleşmiş olabileceğini vurguladı.

Trust Wallet, resmi X hesabından yaptığı açıklamada, saldırının yalnızca 2.68 sürümünü etkilediğini duyurarak mobil uygulama kullanıcılarının ve diğer eklenti sürümlerinin güvende olduğunu belirtti. Etkilenen kullanıcıların kullanımını durdurup güncelleme yapana kadar eklentiyi açmaması tavsiye edildi. Şirket ayrıca zarar gören tüm kullanıcılara ‘tam tazminat’ sözü verdi.

CZ de konuyla ilgili açıklamasında zararın yaklaşık 7 milyon dolar (yaklaşık 101 milyar TL) civarında olduğunu belirtti. Trust Wallet ekibinin kullanıcıların fonlarını eksiksiz şekilde karşılayacağını duyurdu. Kendisi, bu olayı yalnızca dış bir saldırı değil, içerden destek alma ihtimaliyle birleşik bir ‘saldırı biçimi’ olarak değerlendirdi. “Kullanıcı fonları güvendedir” mesajı veren CZ, soruşturmanın detaylı biçimde sürdüğünü belirtti.

Tüm bu gelişmeler, tarayıcı tabanlı kripto para cüzdanlarının güvenliğiyle ilgili soru işaretlerini büyütüyor. Uzmanlara göre özellikle kripto sektörü, son yıllarda tedarik zinciri saldırılarında büyük bir artış gördü. Chainalysis’in 2024 verilerine göre, yıl başından Aralık ayı başına kadar toplamda 3,4 milyar dolar değerinde kripto para çalındı. Bu rakam içinde bireysel cüzdanlardan çalınan miktar, 2022’de %7,3 iken 2024’te %44’e kadar çıktı. Yorum: Bu istatistikler, kripto kullanıcılarının donanım cüzdanları (hardware wallets) gibi daha ‘güvenli’ çözümlere yönelme ihtiyacını artırıyor.

Trust Wallet kullanıcıları için en acil öneri, eklentinin güncel sürümünü kullanarak eski versiyonları tamamen devre dışı bırakmak. Ayrıca bireysel yatırımcıların gizli kurtarma anahtarlarını kimseyle paylaşmaması ve sadece güvenilir donanım ya da yazılım çözümleri kullanması büyük önem taşıyor.