Kripto para cüzdanı Trust Wallet’ta yaşanan ciddi bir güvenlik açığı, yüzlerce kullanıcının cüzdanının boşaltılmasına yol açtı. Blok zinciri araştırmacısı ZachXBT, saldırı sonucunda 6 milyon doların üzerinde kripto varlığın çalındığını açıkladı.
Trust Wallet ekibi, olayın yalnızca tarayıcı eklentisinin 2.68 sürümüyle sınırlı olduğunu duyurdu. Mobil uygulamaların saldırıdan etkilenmediği belirtilirken, kullanıcılara eklenti kullanımını derhal durdurmaları ve 2.69 sürümüne geçmeleri çağrısı yapıldı.
Güncellemeden sonra başladı
Saldırının, 24 Aralık’ta yayımlanan güncellemeden kısa süre sonra başladığı ve günlerce fark edilmeden sürdüğü ortaya çıktı. İncelemelere göre, eklentiye eklenen gizli bir phishing yönlendirmesi üzerinden kullanıcılar özel anahtarlarını (seed phrase) girdiklerinde cüzdanlarının boşaltıldığı belirlendi.
Trust Wallet, özellikle eski cüzdanları yeniden etkinleştiren ve yeni cüzdan oluşturan kullanıcıların ciddi risk altında olduğunu kabul etti.
Yüzlerce cüzdan etkilendi
ZachXBT’nin verilerine göre saldırı, Ethereum, Bitcoin ve Solana ağlarında yüzlerce cüzdanı etkiledi. Bazı kullanıcıların uzun süredir dokunmadıkları Bitcoin varlıklarının parça parça çekildiği, Ethereum fonlarının ise ara adreslerde toplandığı tespit edildi.
Çalınan kripto varlıkların bir bölümünün ChangeNOW, FixedFloat, KuCoin ve HTX gibi merkezi platformlar üzerinden taşındığı bildirildi. Toplam kaybın 6,77 milyon dolara ulaştığı, bunun 2,35 milyon dolarının hâlâ saldırgan adreslerinde bulunduğu belirtildi.
“Tüm zararlar karşılanacak”
Binance’in kurucusu ve eski CEO’su Changpeng “CZ” Zhao, olayın ardından yaptığı açıklamada kullanıcı zararlarının tamamının karşılanacağını duyurdu. Trust Wallet ise hatalı sürümün resmi mağazalara nasıl sızdığı ve olayın bir tedarik zinciri saldırısı olup olmadığına ilişkin soruşturmanın sürdüğünü açıkladı.
Uzmanlardan kritik uyarı
Uzmanlar, olayın kripto ekosisteminde nadir görülen ancak en yıkıcı saldırı türlerinden biri olduğuna dikkat çekerek, özel anahtarların ele geçirilmesi durumunda kayıpların geri döndürülemez olduğunu vurguladı. Kullanıcılara, cüzdan güncellemelerini yakından takip etmeleri ve özel anahtarlarını hiçbir koşulda üçüncü taraf arayüzlerde girmemeleri uyarısı yapıldı.
/ajans/
