7 Milyon Dolarlık Trust Wallet Eklentisi Saldırısı: Bilmeniz Gereken Her Şey

Güven Cüzdanı onaylı Chrome tarayıcısının resmi uzantısına yapılan kötü amaçlı bir güncellemenin, kullanıcılardan yaklaşık 7 milyon dolar değerinde para çalınmasına yol açtığı bildirildi. Saldırı yalnızca uzantının 2.68 sürümünü etkiledi ve saldırganlar, gömülü kötü amaçlı kod aracılığıyla cüzdan kurtarma ifadelerini çaldı. Raporlara göre, mobil kullanıcılar ve diğer tarayıcı sürümleri etkilenmedi.

Trust Wallet eklentisi hack olayında neler oldu?

Olay, Trust Wallet'ın Chrome uzantısının 2.68.0 sürümünü yayınladığı 24 Aralık 2025'te başladı. İlk başta kullanıcılar dağınık kayıplar bildirdi. Cüzdanlar, uzantı aracılığıyla erişildikten veya içe aktarıldıktan kısa bir süre sonra boşaltılıyordu. İzole vakalar gibi görünen bu durum, hızla daha geniş bir soruna işaret etti.

Noel Günü, zincir içi araştırmacı ZachXBT ihraç Çalınan fonlar hala zincir üzerinde hareket halindeyken kamuoyuna bir uyarı yapıldı. Cüzdanlardaki para çekimlerini doğrudan v2.68 güncellemesine bağladı. Analizi, bunun kullanıcı hatası veya kimlik avı değil, tehlikeye atılmış bir tarayıcı uzantısı olduğunu ortaya koymaya yardımcı oldu.

26 Aralık itibariyle Trust Wallet, güvenlik açığını doğruladı. Şirket, yalnızca 2.68 sürümünün etkilendiğini belirterek kullanıcıları derhal 2.69 sürümüne yükseltmeye çağırdı. Chrome Web Mağazası listesine göre, Chrome uzantısının yaklaşık bir milyon kullanıcısı bulunuyor.

Trust Wallet daha sonra, birden fazla blok zinciri üzerinden yaklaşık 7 milyon dolarlık dijital varlığın çalındığını doğruladı.

Hangi kullanıcılar etkilendi?

Yalnızca 26 Aralık saat 11:00 UTC'den önce Trust Wallet'ın Chrome uzantısının 2.68 sürümünü yükleyen veya giriş yapan kullanıcılar risk altındaydı.

Trust Wallet ve güvenlik araştırmacılarına göre:

• Mobil uygulama kullanıcıları etkilenmedi.
• Diğer tarayıcı eklentisi sürümleri etkilenmedi.
• 2.68 sürümü üzerinden erişilen cüzdanlar tamamen tehlikeye girebilir.

Birçok durumda, uzantının kilidini açtıktan veya kurtarma kelime öbeğini içe aktardıktan birkaç dakika sonra cüzdanlar boşaltıldı. Bitcoin, Ethereum ve Solana adresleri de dahil olmak üzere yüzlerce cüzdan etkilendi.

Trust Wallet CEO'su Eowyn Chen, etkilenen zaman diliminde giriş yapan kullanıcıların cüzdanlarının açığa çıktığını varsaymaları ve yenilerini oluşturmaları gerektiğini doğruladı.

Kötü amaçlı kod nasıl çalışıyordu?

Blockchain güvenlik firmasına göre Yavaş SisSaldırı, kötü amaçlı bir üçüncü taraf kütüphanesinden kaynaklanmadı. Bunun yerine, saldırgan doğrudan Trust Wallet'ın kendi uzantı kodunu değiştirdi. Kötü amaçlı mantık, uzantının analiz bileşenine yerleştirildi.

Umut Vaat Eden Projeleri Keşfedin...

Umut Vadeden Projeler...

(İlan)

Makale devam ediyor...

İşte çalışma şekli:

• Kod, uzantıda saklanan tüm cüzdanları tek tek taradı.
• Bu, her cüzdan için anımsatıcı bir ifade isteğini tetikledi.
• Kullanıcılar cüzdanın kilidini açtığında, şifrelenmiş kurtarma ifadesi çözüldü.
• Şifresi çözülmüş anımsatıcı kod, saldırganın kontrolündeki bir sunucuya gönderildi.

Veriler api.metrics-trustwallet[.]com adresine sızdırıldı. Alan adı 8 Aralık 2025'te kaydedildi. Sunucuya yapılan istekler, kötü amaçlı güncellemenin yayınlanmasından günler önce, 21 Aralık'ta başladı.

Saldırgan, posthog-js adlı meşru bir açık kaynaklı analiz kütüphanesini kılıf olarak kullandı. Veriler doğru analiz uç noktasına gönderilmek yerine, trafik saldırganın sunucusuna yönlendirildi.

SlowMist, bunun zehirli bir bağımlılık değil, dahili bir kod tabanı açığı olduğunu belirtti.

Güvenlik açığı içeren eklenti nasıl yayınlandı?

Trust Wallet'ın dahili soruşturması, sürüm yayınlama sürecinde kritik bir hata tespit etti. CEO Eowyn Chen'e göre, kötü amaçlı sürümü yayınlamak için sızdırılmış bir Chrome Web Mağazası API anahtarı kullanılmıştı.

Güvenliği ihlal eden eklenti, 24 Aralık'ta saat 12:32 UTC'de yüklendi. Bu, Trust Wallet'ın normal dahili kontrollerini atlatmayı başardı.

Bu durum, saldırganın kullanıcıları doğrudan hedef almadığını, bunun yerine dağıtım altyapısını istismar ettiğini gösteriyor. Bu tür tedarik zinciri saldırılarını tespit etmek daha zordur çünkü yazılım resmi ve güvenilir görünmektedir.

Ne Kadar Para Çalındı ​​ve Paralar Nereye Gitti?

Trust Wallet ve bağımsız araştırmacılar, toplam kayıpların yaklaşık 7 milyon dolar olduğunu tahmin ediyor.

Çalınan varlıkların bilinen dökümü şunları içerir:

• Yaklaşık 3 milyon dolar Bitcoin
• 3 milyon dolardan fazla Ethereum
• Daha küçük miktarlarda Solana ve diğer varlıklar

Göre PeckShield ve ZachXBT, çalınan paraları hızla akladı.

Önemli hareketler şunlardır:

• ChangeNOW'a yaklaşık 3.3 milyon dolar gönderildi.
• FixedFloat'a yaklaşık 340,000 dolar gönderildi.
• KuCoin'e yaklaşık 447,000 dolar gönderildi.

4 milyon dolardan fazla para merkezi borsalar üzerinden geçti. Son güncellemeye göre, yaklaşık 2.8 milyon dolar saldırganın kontrolündeki cüzdanlarda kaldı.

Bu durum, saldırganların izlenebilirliği azaltmak için anlık takas hizmetlerini ve köprüleri kullandığı diğer cüzdan ele geçirme vakalarını yansıtıyor.

Trust Wallet'ın Yanıt ve Tazminat Planı

Trust Wallet hızlı bir düzeltme yayınladı. Kötü amaçlı kodu kaldırmak için 25 Aralık'ta 2.69 sürümü yayınlandı. Kullanıcıların 2.68 sürümünü derhal devre dışı bırakmaları istendi.

Şirket ayrıca resmi bir ücretlendirme programı da başlattı.

Etkilenen kullanıcılar, aşağıdaki yollarla talepte bulunabilirler. Trust Wallet'ın web sitesindeki resmi destek formuBu süreç şunları gerektirir:

• E-posta
• Otuduğunuz ülke
• Ele geçirilmiş cüzdan adresleri
• Saldırgan adresleri alıyor.
• İlgili işlem özetleri

Trust Wallet, her talebin ayrı ayrı doğrulanacağını belirtti.

Şirket, "Tazminat sürecinin ayrıntılarını sonuçlandırmak için gece gündüz çalışıyoruz ve her vaka, doğruluğu ve güvenliği sağlamak için dikkatli bir doğrulama gerektiriyor" açıklamasında bulundu.

2018'de Trust Wallet'ı satın alan Binance'in kurucu ortağı ve eski CEO'su Changpeng Zhao, zararların karşılanacağını doğruladı.

Bu Saldırı Cüzdan Güvenliği İçin Neden Önemli?

Bu olay, kripto para dünyasında tekrar eden bir riski vurguluyor. Saklama gerektirmeyen cüzdanlar bile yazılım dağıtım kanallarına bağımlıdır. Bu kanallar çöktüğünde, kullanıcılar her şeylerini kaybedebilir.

Trust Wallet saldırısı, sektör genelinde görülen daha geniş bir kalıbı takip ediyor. Bu yılın başlarında Coinbase, Hindistan'daki rüşvet alan destek personeliyle bağlantılı ayrı bir ihlalden sonra 400 milyon dolardan fazla tazminat ödeyeceğini açıklamıştı.

Farklı saldırı yöntemleri, aynı sonuç. Güven varsayımları sınır noktalarında kırılıyor.

Kullanıcılar için bu, temel güvenlik kurallarını pekiştirir:

• Tarayıcı uzantılarını yüksek riskli yazılım olarak değerlendirin.
• Yeni düzeltmeler yayınlandığında hemen güncelleyin.
• Cüzdanın güvenliğinin tehlikeye girmiş olabileceği durumlarda fonları başka bir yere taşıyın.
• Daha önce ortaya çıkmış olan temel ifadeleri asla tekrar kullanmayın.

Dijital cüzdan sağlayıcıları için çıkarılacak ders, sürüm güvenliğiyle ilgili. API anahtarları, derleme süreçleri ve depolama kimlik bilgileri artık başlıca saldırı hedefleri arasında yer alıyor.

Sonuç

7 milyon dolarlık Trust Wallet eklentisi saldırısı, kullanıcı hatası değil, tedarik zincirindeki bir güvenlik açığının sonucuydu. Chrome eklentisinin 2.68 sürümüne yerleştirilen kötü amaçlı kod, kurtarma ifadelerini topladı ve birden fazla blok zincirindeki cüzdanlardan para çekti. 

Rust Wallet, etkilenen sürümü kaldırarak, bir düzeltme yayınlayarak ve tam geri ödeme yapmayı taahhüt ederek yanıt verdi. Bu olay, tarayıcı uzantılarının kripto dünyasında kritik bir saldırı yüzeyi olmaya devam ettiğini ve hem kullanıcıların hem de geliştiricilerin dağıtım güvenliğini özel anahtar yönetimi kadar ciddiye almaları gerektiğini vurguluyor.

Kaynaklar

1. X'te Trust Wallet: 26 Aralık'ta duyuru

2. Slowmist'in X hakkındaki paylaşımıTrust Wallet güvenlik açığına ilişkin rapor

3. PeckShield X'te paylaşım yaptıTrust Wallet güvenlik açığı hakkında