Yönetici Özeti
"Safery: Ethereum Cüzdanı" olarak tanımlanan kötü amaçlı bir Chrome uzantısı, kripto para cüzdanı tohum ifadelerini çalarak kullanıcı güvenliğini aktif olarak tehlikeye atmaktadır. Socket Tehdit Araştırma Ekibi tarafından keşfedilen uzantı, Chrome Web Mağazası'nda meşru bir güvenli Ethereum cüzdanı olarak gizlenmiş ve Sui blockchain aracılığıyla hassas kullanıcı verilerini sızdırmak için sofistike bir yöntem kullanmıştır.
Olay Detayları
"Safery: Ethereum Cüzdanı" uzantısı 29 Eylül 2025 tarihinde Chrome Web Mağazası'na yüklendi ve son güncellemesini 12 Kasım 2025 tarihinde aldı. Kötü amaçlı işlevselliğine rağmen indirilmeye devam etti ve güvenli bir Ethereum cüzdanı olarak yanlış pazarlandı, hatta "Ethereum Cüzdanı" için dördüncü arama sonucu olarak görünerek MetaMask ve Enkrypt gibi meşru cüzdanlarla birlikte görünürlük kazandı. Uzantının gizlilik bildirimi, kullanıcı verisi toplamadığını ve özel anahtarların cihazda kaldığını yanlış bir şekilde iddia ederek, gerçek işleyişiyle doğrudan çelişiyordu.
Veri sızdırma mekanizması çok adımlı bir süreç içerir. Kullanıcı bir cüzdan oluşturduğunda veya içe aktardığında, uzantı onların BIP-39 anımsatıcılarını (tohum ifadesini) bir veya iki sentetik Sui tarzı adrese kodlar. Ardından, sabit kodlanmış bir tehdit aktörünün anımsatıcılarını kullanarak bu kodlanmış adreslere 0.000001 SUI tutarında mikro işlemler gönderir. Bu süreç, çalınan tohum ifadesini görünüşte normal blockchain işlemleri içinde etkili bir şekilde gizler. Saldırgan daha sonra Sui blockchain'ini izler, bu mikro işlemlerden alıcı adresleri çözer ve orijinal tohum ifadesini yeniden oluşturur. Kurtarılan anımsatıcı ile saldırganlar, kullanıcı cüzdanlarını anında çoğaltabilir, Ethereum özel anahtarlarını türetebilir ve kullanıcı farkındalığı olmadan varlıkları transfer edebilir, bu da etkilenen kripto varlıklarının tamamen ele geçirilmesine yol açar.
Piyasa Etkileri
Bu olay, daha geniş Web3 ekosistemi ve merkezi olmayan uygulamalar ile tarayıcı tabanlı kripto cüzdanlarına olan kullanıcı güveni için önemli çıkarımlar taşımaktadır. Chrome Web Mağazası'nın meşruiyetini kullanan saldırının aldatıcı doğası, platform denetimindeki güvenlik açıklarını ve tedarik zinciri saldırıları potansiyelini vurgulamaktadır. Bu tür istismarlar, kullanıcıların dijital varlık güvenliğine olan güvenini zayıflatabilir ve potansiyel olarak Web3 teknolojilerinin daha geniş kurumsal ve bireysel olarak benimsenmesini engelleyebilir.
Uzman Yorumu
Kötü amaçlı uzantıyı keşfeden Socket Tehdit Araştırma Ekibi, Google'dan uzantıyı derhal kaldırmasını ve kifagusertyna@gmail[.]com ile bağlantılı yayıncının hesabını askıya almasını talep etti. Güvenlik uzmanları, kullanıcılara tarayıcı cüzdanlarını yalnızca doğrulanmış yayıncılardan yüklemelerini ve herhangi bir şüpheli blockchain çağrısı için uzantıları titizlikle izlemelerini tavsiye ediyor. Socket ayrıca, uzantılar son kullanıcı tarayıcılarına ulaşmadan önce yükleme izin listelerini uygulamak, riskli izinleri işaretlemek ve gizli sızdırma modellerini tespit etmek için sağlam Chrome uzantı koruma platformlarının entegrasyonunu önermektedir.
Daha Geniş Bağlam
Bu olay, kullanıcıların web tarayıcılarını hedef alan ve genellikle önemli bir ölçekte çalışan sofistike tedarik zinciri saldırılarının devam eden bir eğilimini vurgulamaktadır. Sızdırılan verileri blockchain işlemleri içine gömme tekniği, geleneksel güvenlik önlemlerini atlatmak için gelişmiş bir yöntemi temsil etmektedir. Olay, dijital varlık alanında sürekli uyanıklık ihtiyacının ve hassas kriptografik anahtarlarla etkileşime giren yazılımların, özellikle tarayıcı uzantılarının dikkatle incelenmesinin öneminin kritik bir hatırlatıcısı olarak hizmet etmektedir.
Edgen Crypto·Nov 14 2025, 04:06