2022’nin sonlarında Binance CEO’su Changpeng Zhao’dan övgü alan ve bunun akabinde paha kazanan çok zincirli (multi-chain) altcoin cüzdanı sağlayıcısı Trust Wallet, kullanıcısının hesabından 4 milyon dolarlık gizemli bir hırsızlık olayıyla ilgili açıklama yaptı. İşte detaylar…

Altcoin projesinde hack alarmı

Kriptokoin.com olarak da bildirdiğimiz üzere Binance CEO’sunun övdüğü ve övgüsüyle altcoin projesi TWT’nin fiyatını artırdığı TrustWallet, bir dolandırıcılığa mevzu olmuş üzere duruyor. Hırsızlıkla ilgili söylentiler 6 Ocak Pazartesi günü ortalıkta dolaşmaya başladı. Söylentilere nazaran, bir dolandırıcı, Trust Wallet kullanıcısından sadece kullanıcının bakiyesinin bir fotoğrafıyla 4 milyon dolarlık kripto varlığını çaldı. Bilgisayar korsanı, hesaba erişmek için hiçbir vakit rastgele bir “seed phrase” yahut şifre kullanmadı. Trust Wallet, hack saldırısının gerisindeki olayları açıklayan bir bildiri paylaşmak için Twitter’ı kullandı.

Trust Wallet’ın açıklamasına nazaran gizemli hırsızlıkla ilgili incelemelerde bulundu ve değişik bir müşahedede bulundu. Hack saldırısının ardındaki fikir, Barselona ve Milano üzere bölgelerdeki başka cüzdan sağlayıcılarına yönelik hırsızlık gerçekleştiren bir cürüm örgütüne ilişkin. Kurbanların yanı sıra birçok kripto topluluğu üyesi, hatalıların da kendilerine eriştiğini bildirdi. Bilgisayar korsanları kendilerini Web3 proje yatırımcısı kılığına sokarak kullanıcıları kandırdı. 

Hacker’lar multi-sig cüzdanlardan kaçınıyor

Trust Wallet ayrıyeten, bu hatalıların harekete geçmeden evvel sıcak cüzdanlardaki fonların delilini isteyen kullanıcılara yaklaştığını açıkladı. Bilgisayar korsanları, kurbanlarını paralarını çoklu imzalı bir cüzdandan tek anahtarlı bir Trust Wallet’a aktarmaya ikna etmek için haftalar harcıyorlar. Çoklu imza cüzdanları çoklukla oturum açmadan ve bir süreç göndermeden evvel iki yahut daha fazla özel anahtar gerektirir. Bu nedenle, bilgisayar korsanlarının multi-sig (multi-signature) bir cüzdana erişmesi, tek anahtarlı bir cüzdana nazaran daha güç olacaktır.

Cüzdan sağlayıcı ayrıyeten, bilgisayar korsanının makus emelli yazılım içerdiğinden şüphelendikleri bir kapalılık mukavelesi belgesini ve geçersiz KYC bilgilerini kurbanla paylaştığını da açıkladı. Makûs gayeli yazılım, hırsızın kullanıcının cüzdanına erişmesine ve fonları taşımasına müsaade veren güvenlik açıkları ortaya çıkardı. Trust Wallet, hack sürecini açıkladıktan sonra açıklamasını kullanıcılara dolandırıcılara karşı tetikte olmalarını tavsiye ederek sonlandırdı. Diğer bir deyişle, kullanıcılar Trust Wallet ile fonlarının inançta olduğundan emin olmalı, fakat hatalıların bunlardan faydalanmasını önlemek için tetikte olmalıdırlar.

Cüzdan sağlayıcıları hack ataklarına tahlil arıyor

Hack atakları artık kripto sanayisi için yeni bir şey değil. Bilgisayar korsanları, altcoin platformlarında hiçbir şeyden şüphelenmeyen müşterilerden para çalmak için makus gayeli stratejiler geliştirdi. Kimileri, kullanıcıları bilmeden paralarını transfer etmeye ikna etmek için çevrimiçi kripto platformlarına kimlik avı siteleri ekliyor. Hatta kimileri, kimlik avı web siteleri aracılığıyla berbat hedefli kodları düzeltiyor ve kullanıcı süreçlerini ele geçiriyor. Geçen yıl, Binance CEO’su Changpeng Zhao, kullanıcılara Google arama sonuçlarında ortaya çıkan kimlik avı dolandırıcılıklarına karşı tetikte olmalarını tavsiye etti.

Yakın tarihli bir raporda CertiK Alert, bilgisayar korsanlarının Azuki’nin resmi Twitter hesabına saldırdıklarını ve platformdan yaklaşık 758.000 dolar çaldıkları irtibatlar sunduğunu ortaya çıkardı. BonqDAO protokolü, bir oracle saldırısına da şahit oldu. Kripto ekosistemindeki daima hesap saklılığı ve hack taarruzları göz önüne alındığında, birçok cüzdan sağlayıcısı, kullanıcıları korumak için yeni özellikler entegre etti.  Ayrıca, 27 Ocak’ta Phantom NFT platformu, cüzdan uygulamasında yeni güvenlik özelliklerini duyurdu.

Kripto Koin’in Haberi