Trust Wallet'ta tarayıcı eklentisi açığı: 7 milyon dolarlık kripto para çalındı

Trust Wallet hacklendi: Tarayıcı eklentisindeki açık, 7 milyon dolarlık kripto paranın çalınmasına yol açtı

Popüler kripto cüzdan uygulaması Trust Wallet'ta yaşanan bir güvenlik açığı sonucu yaklaşık 7 milyon dolar değerinde varlık saldırganların eline geçti. Saldırı, platformun Chrome tarayıcı eklentisinin 2.68 sürümüne kötü amaçlı kod yerleştirilmesiyle gerçekleştirildi. Trust Wallet ekibi zararı kabul ederek tüm mağdur kullanıcılara ‘tam zarar telafisi’ sözü verdi.

Kritik açık, yalnızca 2.68 sürümünü kullanan tarayıcı eklentisinde yer aldı. Araştırmalara göre bu sürümde yer alan zararlı yazılım, kullanıcıların cüzdanlarında sakladığı *mnemonic* (kurtarma anahtarlarını) ele geçirerek bu bilgileri saldırganların kontrolündeki sunuculara aktardı. Trust Wallet, sorunun ortaya çıkmasının hemen ardından kullanıcıları bu versiyonu kullanmamaya çağırdı ve güvenliği artırılmış 2.69 sürümüne geçilmesini önerdi. Mobil uygulama ve diğer uygulama versiyonları bu olaydan etkilenmedi.

Saldırının ilk fark edilmesi ise zincir üstü takip analizleriyle tanınan ZachXBT tarafından gerçekleşti. ZachXBT, Telegram kanalı üzerinden bazı kullanıcıların şüpheli likidite kayıplarını paylaşarak konuyu gündeme taşıdı. Gözlemlerine göre cüzdandan çıkışlar, zararlı sürüm yayımlandıktan sadece birkaç saat sonra başlamıştı. Bu tespit, Trust Wallet tarafından da resmi olarak doğrulandı.

Olayın detaylarına ilişkin açıklama yapan blokzincir güvenlik firması SlowMist, saldırının bir ‘tedarik zinciri saldırısı’ olduğunu ortaya koydu. Firma, 2.68 güncellemesine dahil edilen kodun, normal işlev gibi davranan ancak aslında cüzdanlardan veri çekerek hacker’a aktaran bir yapıya sahip olduğunu bildirdi. Saldırganların, analiz araçları kılığına girerek gizlice veri topladığı değerlendiriliyor.

Benzer güvenlik endişeleri geçmişte de gündeme gelmişti. 2023 yılında donanım cüzdanı üreticisi Ledger’ın CTO’su Charles Guillemet, Trust Wallet’ın Chrome eklentisinde ciddi güvenlik açıkları tespit ettiğini açıklamıştı. O dönemde geniş çaplı bir saldırı gerçekleşmemişti ancak bu kez olay ciddi bir finansal kayıpla sonuçlandı.

Borsa devi Binance’ın kurucusu Changpeng Zhao (CZ), X platformunda yaptığı bir paylaşımda “Şu ana kadar 7 milyon dolar kadar kullanıcı fonu etkilendi. Trust Wallet, tüm kullanıcıları tam olarak tazmin edecek.” diyerek mağdurları sakinleştirdi. Trust Wallet, 2018 yılında Binance tarafından satın alınmıştı ve o tarihten bu yana önde gelen ‘kendi kendine saklama’ (self-custody) çözümlerinden biri olarak kabul ediliyor.

Bu saldırı, kripto cüzdanlar arasında özellikle tarayıcı tabanlı olanların dış müdahalelere karşı ne kadar *savunmasız* olabileceğini gösteriyor. Kullanıcı güvenliği konusunda geliştirici denetimi ve şeffaf güncelleme süreçlerinin ne kadar hayati olduğu bir kez daha vurgulanmış oldu. Yorum: Kullanıcıların sadece kolaylık odaklı araçlar yerine, güvenlik açısından da dengeli tercihler yapmaları gerektiği günümüzde her zamankinden daha önemli.