Pavlo Kot

Altı blok zincirindeki binlerce kripto cüzdanı Ill Bloom güvenlik açığı nedeniyle risk altında

Altı blok zincirindeki binlerce kripto cüzdanı Ill Bloom güvenlik açığı nedeniyle risk altında
Ill Bloom güvenlik açığı

​Araştırmacılar, birden fazla blok zincirindeki binlerce kripto para cüzdanını etkileyebilecek bir güvenlik açığı tespit etti. Bulgularına göre saldırganlar, bazı cüzdanların kurtarma kelimelerini (seed phrase) oluşturma şeklindeki zayıflıklardan yararlanarak Mayıs ayının sonundan bu yana 5 milyon dolardan fazla para çaldı.

Bu makale orijinalinden tercüme edilmiştir. Muhabirimiz tarafından hazırlanan orijinal versiyonu okumak için buraya tıklayın.

Coinspect tarafından hazırlanan bir rapora göre Ill Bloom güvenlik açığı Bitcoin, Ethereum, Polygon, Rootstock, Tron ve Solana ağlarındaki cüzdanları etkiliyor.

Sorun, belirli yazılım cüzdanlarında kurtarma kelimesi oluşturma sırasındaki yetersiz entropiden kaynaklanıyor. Bazı uygulamalar güvenli olmayan bir sözde rastgele sayı üretecine dayandığından, saldırganlar özel anahtarları kaba kuvvet (brute-force) yöntemiyle ele geçirebilir ve kullanıcıların fonlarına erişim sağlayabilir.

Coinspect, güvenlik açığının öncelikle 2018'den beri geliştirilen daha az bilinen mobil kripto cüzdanlarını etkilediğini belirtti. Firmanın analizine göre, donanım cüzdanları ve çoğu modern yazılım cüzdanı bu durumdan etkilenmiyor.

5 milyon dolardan fazla para çalındı

Coinspect, saldırıların kopyalanmasını kolaylaştırmamak için açığın teknik ayrıntılarını paylaşmadığını söyledi. Bunun yerine şirket, kullanıcıların cüzdan adreslerinin risk altında olup olmadığını kontrol etmelerine olanak tanıyan bir araç yayınladı.

Araştırmacılara göre saldırganlar, 27 Mayıs'ta bilinen 2.114 savunmasız cüzdandan 431'ini ele geçirerek yaklaşık 3,1 milyon dolar çaldı. Pazar günü ise ele geçirilen ek adreslerden 2 milyon dolar daha çekildi.

Blok zinciri güvenlik firması SlowMist, durumu yakından izlediğini ve yeni açıklanan güvenlik açığının potansiyel etkilerini değerlendirdiğini belirtti.

Benzer sorunlar daha önce de ortaya çıkmıştı

Araştırmacılar, benzer kusurların daha önce de kripto para cüzdanı kullanıcılarını güvenlik risklerine maruz bıraktığını kaydetti.

2023 yılında Ledger araştırmacıları, Trust Wallet tarayıcı uzantısında saldırganların teorik olarak kurtarma kelimelerini kaba kuvvetle ele geçirmesine izin verebilecek bir güvenlik açığı tespit etmişti. Sorun, herhangi bir kullanıcı fonunun çalındığı bildirilmeden önce yamalanmıştı.

Bu arada Sovright, kısa süre önce eski ZEC Wallet Lite kullanıcılarının, cüzdan desteğinin 2022'de sona ermesinin ardından erişilemez hale gelen varlıklarına yeniden erişmelerini sağlayan bir kurtarma aracı olan Argos'u tanıttı.

Daha önce Ledger; kripto alım, satım, takas ve staking işlemlerini tek bir platformda birleştiren yeni Ledger Wallet uygulamasını başlattı. Şirket, uygulamayı geleneksel yazılım cüzdanlarına tam teşekküllü bir alternatif haline getirmeyi hedeflediğini söyledi.

Bu materyal üçüncü taraf görüşlerini içerebilir, bu web sayfasındaki hiçbir veri ve bilgi Feragatnamemize göre yatırım tavsiyesi teşkil etmez. Katı Editoryal Dürüstlük ilkelerine bağlı kalmamıza rağmen, bu gönderi ortaklarımızın ürünlerine referanslar içerebilir.