2022’nin sonlarında Binance CEO’su Changpeng Zhao’dan övgü alan ve bunun akabinde kıymet kazanan çok zincirli (multi-chain) altcoin cüzdanı sağlayıcısı Trust Wallet, kullanıcısının hesabından 4 milyon dolarlık gizemli bir hırsızlık olayıyla ilgili açıklama yaptı. İşte detaylar…
Altcoin projesinde hack alarmı
Kriptokoin.com olarak da bildirdiğimiz üzere Binance CEO’sunun övdüğü ve övgüsüyle altcoin projesi TWT’nin fiyatını artırdığı TrustWallet, bir dolandırıcılığa bahis olmuş üzere duruyor. Hırsızlıkla ilgili söylentiler 6 Ocak Pazartesi günü ortalıkta dolaşmaya başladı. Söylentilere nazaran, bir dolandırıcı, Trust Wallet kullanıcısından sırf kullanıcının bakiyesinin bir fotoğrafıyla 4 milyon dolarlık kripto varlığını çaldı. Bilgisayar korsanı, hesaba erişmek için hiçbir vakit rastgele bir “seed phrase” yahut şifre kullanmadı. Trust Wallet, hack saldırısının gerisindeki olayları açıklayan bir bildiri paylaşmak için Twitter’ı kullandı.
https://twitter.com/TrustWallet/status/1623355786557632512
Trust Wallet’ın açıklamasına nazaran gizemli hırsızlıkla ilgili incelemelerde bulundu ve farklı bir müşahedede bulundu. Hack saldırısının gerisindeki fikir, Barselona ve Milano üzere bölgelerdeki başka cüzdan sağlayıcılarına yönelik hırsızlık gerçekleştiren bir cürüm örgütüne ilişkin. Kurbanların yanı sıra birçok kripto topluluğu üyesi, hatalıların da kendilerine eriştiğini bildirdi. Bilgisayar korsanları kendilerini Web3 proje yatırımcısı kılığına sokarak kullanıcıları kandırdı.
Hacker’lar multi-sig cüzdanlardan kaçınıyor
Trust Wallet ayrıyeten, bu hatalıların harekete geçmeden evvel sıcak cüzdanlardaki fonların ispatını isteyen kullanıcılara yaklaştığını açıkladı. Bilgisayar korsanları, kurbanlarını paralarını çoklu imzalı bir cüzdandan tek anahtarlı bir Trust Wallet’a aktarmaya ikna etmek için haftalar harcıyorlar. Çoklu imza cüzdanları ekseriyetle oturum açmadan ve bir süreç göndermeden evvel iki yahut daha fazla özel anahtar gerektirir. Bu nedenle, bilgisayar korsanlarının multi-sig (multi-signature) bir cüzdana erişmesi, tek anahtarlı bir cüzdana nazaran daha sıkıntı olacaktır.
Cüzdan sağlayıcı ayrıyeten, bilgisayar korsanının berbat maksatlı yazılım içerdiğinden şüphelendikleri bir kapalılık mukavelesi evrakını ve uydurma KYC bilgilerini kurbanla paylaştığını da açıkladı. Berbat gayeli yazılım, hırsızın kullanıcının cüzdanına erişmesine ve fonları taşımasına müsaade veren güvenlik açıkları ortaya çıkardı. Trust Wallet, hack sürecini açıkladıktan sonra açıklamasını kullanıcılara dolandırıcılara karşı tetikte olmalarını tavsiye ederek sonlandırdı. Öteki bir deyişle, kullanıcılar Trust Wallet ile fonlarının inançta olduğundan emin olmalı, lakin hatalıların bunlardan faydalanmasını önlemek için tetikte olmalıdırlar.
Cüzdan sağlayıcıları hack taarruzlarına tahlil arıyor
Hack akınları artık kripto sanayisi için yeni bir şey değil. Bilgisayar korsanları, altcoin platformlarında hiçbir şeyden şüphelenmeyen müşterilerden para çalmak için berbat maksatlı stratejiler geliştirdi. Kimileri, kullanıcıları bilmeden paralarını transfer etmeye ikna etmek için çevrimiçi kripto platformlarına kimlik avı siteleri ekliyor. Hatta kimileri, kimlik avı web siteleri aracılığıyla makus maksatlı kodları düzeltiyor ve kullanıcı süreçlerini ele geçiriyor. Geçen yıl, Binance CEO’su Changpeng Zhao, kullanıcılara Google arama sonuçlarında ortaya çıkan kimlik avı dolandırıcılıklarına karşı tetikte olmalarını tavsiye etti.
Yakın tarihli bir raporda CertiK Alert, bilgisayar korsanlarının Azuki’nin resmi Twitter hesabına saldırdıklarını ve platformdan yaklaşık 758.000 dolar çaldıkları kontaklar sunduğunu ortaya çıkardı. BonqDAO protokolü, bir oracle saldırısına da şahit oldu. Kripto ekosistemindeki daima hesap saklılığı ve hack taarruzları göz önüne alındığında, birçok cüzdan sağlayıcısı, kullanıcıları korumak için yeni özellikler entegre etti. Ayrıca, 27 Ocak’ta Phantom NFT platformu, cüzdan uygulamasında yeni güvenlik özelliklerini duyurdu.
KAYNAK : Kripto Koin
