Haberler 
Coin Bilgisi 
Hakkımızda 
아이폰(iOS) ekosistemini ‘görece güvenli ortam’ olarak görüp kripto paralarını mobilde tutan ve al-sat yapan kullanıcılar için artık ciddi bir ‘uyarı’ dönemi başladı. Google Tehdit Analiz Grubu(TAG), 23 ayrı iOS açığını zincir halinde kullanan ‘Coruna exploit kiti’nin sahada aktif şekilde dolaştığını açıkladı. Sorun sadece ‘reklam gösteren’ ya da ‘uygulamayı çökerten’ bir zararlıdan ibaret değil; hedef doğrudan kripto cüzdanların ‘seed cümlesi’(BIP39) ve ‘özel anahtarları’. Yani, kullanıcı farkına bile varmadan varlıkların çekilip alınabildiği bir yapıdan söz ediliyor.
Google TAG’in raporuna göre Coruna, bulaştığı cihazda kendini belli etmeden önce tarayıcı açığını kullanarak sisteme sızıyor. Ardından not uygulamasına kaydedilmiş ‘seed cümlelerini’ ve ‘mnemonic’ ifadeleri arıyor, fotoğraf albümündeki QR kodları çıkarıyor, yamalanmamış cihazlarda ise doğrudan ‘özel anahtarı’ ele geçirme ve cüzdanı ‘drainer’ yöntemiyle boşaltma senaryosu devreye girebiliyor. Kullanıcı daha tarayıcının ele geçirildiğini anlayamadan, zincir üzerindeki fonlar çoktan başka adreslere aktarılmış oluyor.
Bu tehdidin bu kadar kritik görülmesinin nedeni, saldırı düzeyindeki ‘sıçrama’. Bugüne kadar çok adımlı exploit zincirleri ve ‘zincirleme açık’ kullanımı, ağırlıklı olarak devlet destekli saldırganlar ve yüksek maliyetli ‘hedefli gözetim operasyonları’ ile anılıyordu. Coruna ise bu teknik seviyeyle hazırlanmış bir saldırı zincirini, ‘genel kullanıma açık suç aracı’ formatında paketlenip yayılabileceğini gösteriyor. Daha önce istihbarat amaçlı kullanılan karmaşık araçların, perakende düzeyde hırsızlığa kayması bir ‘reji(m) değişimi’ olarak yorumlanıyor. ‘yorum’Bu, siber silahların kapalı devreden çıkarak organize suç kitlesine açıldığı yeni bir faz anlamına geliyor.yorum
Piyasa tarafındaki tablo da pek iç açıcı değil. Zincir üstü veri analizi firması Chainalysis, 2025’te kripto para hırsızlığının toplam hacminin 75 milyar doların (yaklaşık 111,15 trilyon won, $1=1.482 won baz alınarak) üzerine çıkabileceğini tahmin etmişti. Bu pastanın önemli bölümünü ‘cüzdan drainer’ türü saldırıların oluşturduğu biliniyor. Bu çerçevede iOS ekosistemini hedef alan ve otomatik çalışan yeni nesil drainer kitlerinin yaygınlaşması, özellikle mobil kullanıcı ağı büyük olan piyasalarda doğrudan sarsıntı yaratabilecek bir risk olarak öne çıkıyor.
Coruna’nın saldırı modeli, kullanıcının ‘bulaşmış bir web sitesini ziyaret etmesi’ ile tetiklenen ‘1 tıklama’ (1-click) saldırısı olarak tanımlanıyor. Bu siteler dışarıdan bakıldığında sıradan bir bahis platformu ya da haber sayfası gibi durabiliyor. Ancak kullanıcı sitede gezinirken WebKit tabanlı açıklar devreye alınarak iOS cihazına sızılmaya çalışılıyor. Sonrasında tarayıcı ‘sandbox’ yapısından çıkabilmek için yerel ayrıcalık yükseltme(Local Privilege Escalation) açıkları ardışık biçimde kullanılıyor.
Google TAG, iOS 13.0’dan 17.2.1’e kadar birçok sürümü analiz ederken Coruna’nın tek bir açığa dayanmadığını, ‘çoklu giriş noktaları’ üzerinden payload taşıyabildiğini tespit etti. Nihai hedef, kripto para cüzdanlarını boşaltmak. Bunun için cihazın dosya sisteminde kriptoyla ilgili anahtar kelimeler taranıyor, fotoğraf galerisindeki QR kodlar kontrol ediliyor, not uygulamasındaki mnemonic ifadeler otomatik olarak çekilip toplanıyor.
Bu tür saldırılar başarılı olduğu anda zarar neredeyse ‘anında’ ortaya çıkıyor ve geri almak neredeyse imkânsız. Blokzincir işlemleri geriye alınamadığı için, ‘özel anahtar’ veya ‘seed cümlesi’ sızdırıldığı anda varlığın kontrolü el değiştiriyor. Mobil üzerinden işlem yapan ya da cüzdan saklayan iPhone kullanıcıları açısından ‘işletim sistemini güncel tutmak’ ve ‘güvenlik yamalarını eksiksiz kurmak’ artık doğrudan ‘varlık koruma hattı’ anlamına geliyor.
Geçmişte bu seviyede karmaşık exploit zincirlerini, NSO Group gibi firmalar veya devlet düzeyindeki saldırgan yapılar adeta ‘tekelinde’ tutuyordu. Hedefler genelde muhalifler, gazeteciler, diplomatlar gibi yüksek değere sahip kişilerdi ve bu araçlar geniş çaplı perakende hırsızlık için hem pahalı hem de operasyonel olarak zor kabul ediliyordu. Coruna bu resmi tersine çeviriyor. ‘Operation Triangulation’ gibi devlet destekli olduğu düşünülen kampanyalarda görülen açık zincirleme kalıplarının, artık doğrudan para odaklı suç şebekelerinin eline geçerek kitlesel hırsızlıkta kullanılabildiği bir sürece girildiği değerlendiriliyor. Böylece MetaMask(MetaMask) ve Trust Wallet(Trust Wallet) gibi ‘öz saklama’ (non-custodial) cüzdanları hedef almak için gereken teknik eşik aşağı çekiliyor; daha az yetkin saldırganlar bile hazır exploit kitleri satın alıp saldırı düzenleyebiliyor.
Siber güvenlik dünyasında, istihbarat amaçlı geliştirilen araçların zamanla suç ekosistemine sızması sık tekrar eden bir desen. Coruna ile bu model bir kez daha kendini gösteriyor. Burada saldırganların peşinde olduğu şey ‘devlet sırrı’ değil, doğrudan ‘likidite’. Güvenlik şirketi iVerify, söz konusu exploit zincirinden etkilenen cihaz sayısının en az 42.000 olduğunu belgelese de toplam zarar miktarı henüz netleşmiş değil. Drainer yapısının doğası gereği, zararların uzun bir döneme yayılarak, görece küçük ama çok sayıda cüzdanda birikmesi olasılığı dikkat çekiyor.
Hedef profil aslında oldukça net. Mobil üzerinden işlem yapan ve borsada değil, ‘kendi cüzdanında’ saklama yapan kullanıcılar en riskli grup. Saldırı vektörü de kripto kullanıcılarının sık uğradığı gri alan sitelere yaslanıyor. Düzenleme dışı kumar platformları, şüpheli token airdrop sayfaları, üçüncü taraf uygulama mağazaları gibi alanlar öne çıkıyor. Coruna’nın, MetaMask(MetaMask), Bitget Wallet(Bitget Wallet, eski adıyla BitKeep), Trust Wallet(Trust Wallet) gibi önde gelen öz saklama cüzdanlarının veri dizinlerini hedefleyerek tarama yaptığı belirtiliyor. Eğer ‘kasalar’ zayıf şifrelenmişse ya da kullanıcı cüzdan şifresini iCloud Keychain, notlar veya benzeri yerlere kaydetmişse, cihazın kontrolünün ele geçirilmesi cüzdanın doğrudan boşaltılmasıyla sonuçlanabiliyor.
Bu tablo, kullanım alışkanlıklarını da işin merkezine yerleştiriyor. Mobil trader’lar çoğu zaman hareket halindeyken DeFi uygulamalarına (DApp) bağlanıyor, işlemleri hızlıca onaylamaya çalışıyor; bu da ‘güvenlik hijyeni’ yerine ‘hız’ odaklı davranma riskini artırıyor. Coruna’nın en tehlikeli yanı, ‘kötü niyetli işlem onayı’ ya da klasik phishing etkileşimlerine mecbur olmaması. Kullanıcı sadece web’de gezinirken, ‘kalenin anahtarı’ sayılan özel anahtarlar ve seed cümleleri ele geçirilebiliyor.
Kısa vadede yapılması gerekenlerin başında, iOS’in en güncel sürüme çekilip çekilmediğinin kontrol edilmesi ve notlar, fotoğraf albümü gibi alanlarda seed cümlesi ya da cüzdanla ilgili hassas bilgiler tutulup tutulmadığının yeniden gözden geçirilmesi geliyor. Piyasada, uzun vadeli varlıkların donanım cüzdanlara (örneğin Ledger, Trezor gibi ‘soğuk cüzdan’ çözümleri) taşınması yönündeki eğilimin güçlenmesi bekleniyor. Mobil deneyim ne kadar konforlu hale geldiyse, saldırganların hedef alanı da o ölçüde genişledi. ‘kelime’İPhone güvenlidirkelime varsayımının, en azından kripto kullanıcıları açısından, yeniden güncellenmesi gerektiği yönünde görüşler artıyor.
Yorum 0