Haberler 
Coin Bilgisi 
Hakkımızda 
En az 9,5 milyon dolar tutarında kripto para, ‘sahte Ledger Live’ uygulamasının Apple App Store üzerinden dağıtılmasıyla çalındı. Mağdurlar, *emeklilik birikimleri* de dahil olmak üzere yıllar boyunca biriktirdikleri tüm varlıkların bir anda yok olduğunu söylüyor.
Olay, 7–13 Nisan arasında gerçekleşti. Bitcoin(BTC), Ethereum(ETH), Tron(TRX), Solana(SOL), Ripple(XRP) gibi birden fazla ağda en az 50’den fazla kullanıcı etkilendi. Mağdurlar, resmi sanarak indirdikleri sahte ‘Ledger Live’ uygulamasına kurtarma ifadelerini (seed) girdikten sonra cüzdanlarının tam erişim hakkını saldırganlara devretti.
X kullanıcısı ‘@glove’, yeni bilgisayarını kurarken bu uygulamayı yükledikten sonra yaklaşık 5,9 BTC kaybetti. Bu tutar yaklaşık 869 milyon won’a denk geliyor ve 10 yıl boyunca biriktirdiği *tüm birikimi*ydi. “Emeklilik paramı bir anda kaybettim.” diyerek yaşadığı yıkımı anlattı.
Blokzincir analisti ZachXBT(ZachXBT), çalınan 5,92 BTC’nin hızla bir dizi işlemle taşındığını ve sonunda KuCoin borsasına(KuCoin) ait bir para yatırma adresine ulaştığını tespit etti. Bu hareketler, olay genelinde gözlemlenen *para aklama* modeline ‘birebir’ uyuyor.
Bu saldırının tekil bir olay değil, *organize bir kampanya* olduğu değerlendiriliyor. En büyük üç vaka; sırasıyla yaklaşık 3,23 milyon dolar (yaklaşık 4,75 milyar won, USDT), 2,08 milyon dolar (yaklaşık 3,06 milyar won, USDC) ve 1,95 milyon dolar (yaklaşık 2,87 milyar won, BTC·ETH·stETH karışık) kayıpla sonuçlandı.
Kullanılan yöntem ise klasik bir *sosyal mühendislik* taktiği. Saldırganlar, kullanıcılara kurtarma ifadelerini uygulama içinde girmelerini telkin ediyor. Bu ifade bir kez paylaşıldığında cüzdanın tamamı üzerindeki hak saldırgana geçiyor ve varlıklar geri döndürülemez şekilde harici cüzdanlara aktarılıyor. *Yorum:* Bu tür saldırılarda zincir üzerinde işlem geri alma imkânı bulunmadığı için tek savunma, kurtarma ifadesini asla hiçbir uygulama veya web siteye girmemek.
Çalınan varlıklar 150’den fazla farklı KuCoin para yatırma adresi üzerinden parça parça taşındı. Analizlere göre bu adresler, ‘AudiA6’ olarak bilinen merkezi bir karıştırma (mixing) servisiyle bağlantılı. ‘AudiA6’nın yüksek komisyonlar karşılığında fonların izini gizlediği, böylece zincir üzerindeki takibi zorlaştırdığı belirtiliyor.
KuCoin, son dönemde *düzenleyici baskılarla* da gündemde. 2026 Şubat’ında Avusturya makamları, borsanın yeni Avrupa Birliği(EU) müşterisi edinmesini engelledi. 2025’te ise kara para aklamayı önleme (AML) kurallarını ihlal ettiği gerekçesiyle 300 milyon doların üzerinde ceza ödemek zorunda kalmıştı.
Apple, sahte ‘Ledger Live’ uygulamasını App Store’dan kaldırdı ancak uygulamanın resmi denetim sürecinden nasıl geçtiği belirsiz. Ayrıca ne kadar süre boyunca mağazada kaldığı da netleşmiş değil. ZachXBT, olayın bir *toplu dava* sürecine dönüşebileceğini, çünkü saldırıların Apple’ın resmi platformu üzerinden gerçekleştiğini vurguluyor. Bu durum, Apple’ın hukuki sorumluluğunun olup olmayacağı tartışmasını gündeme taşıyor.
Tüm bu gelişmeler, kripto para ekosisteminde *bitmeyen phishing tehlikesini* bir kez daha ortaya koyuyor. Yalnızca 2025 yılı içinde hack ve dolandırıcılık nedeniyle oluşan toplam zarar yaklaşık 17 milyar dolara ulaştı; bunun önemli bir kısmı da phishing ve sosyal mühendislik kaynaklıydı. Bir mağdurun sözleri tabloyu özetliyor: “10 yıl boyunca biriktirdiğim paraydı. Herkes, özellikle kurtarma ifadeleri konusunda, çok daha dikkatli olmalı.”
Yorum 0