Siber güvenlik firması Coinspect, 'Ill Bloom' adını verdiği bir kripto para cüzdan açığını kamuoyuna duyurdu ve saldırganların bu açığı aktif olarak kullandığını belirtti. Açık, bazı cüzdan yazılımlarının kurtarma ifadelerini (seed phrase) oluşturma şeklinden kaynaklanıyor. Bu ifadeler, cüzdandaki fonları kontrol eden kelimelerdir. Zayıf rastgelelikle üretildiklerinde, saldırganlar bu ifadeleri tahmin ederek tüm varlıkları çalabiliyor.
Coinspect, 27 Mayıs'ta koordineli bir saldırıyla 431 cüzdandan yaklaşık 3,1 milyon dolar çalındığını doğruladı. The Hacker News'e yapılan açıklamada, daha sonra başka bir cüzdandan 2,1 milyon dolar daha USDT çalınarak toplam kaybın 5 milyon doları aştığı bildirildi. Firma, 'son zamanlarda izniniz olmadan fon hareketi olduysa, bu zafiyet nedeni olabilir' uyarısında bulundu.
Neyse ki çoğu kullanıcı etkilenmiyor. Coinspect, donanım cüzdanlarında oluşturulan cüzdanların ve çoğu ana akım yazılım cüzdanının etkilenmediğini belirtiyor. Asıl risk, 2018'e kadar uzanan eski veya az bilinen mobil uygulama ve tarayıcı eklentisi cüzdanlarda. Hangi uygulamaların etkilendiği açıklanmadığı için, tek kontrol yöntemi illbloom.org adresindeki ücretsiz aracı kullanmak. Cüzdan adresinizi yapıştırarak eşleşme olup olmadığını görebilirsiniz. Eşleşme varsa, kurtarma ifadeniz ele geçirilmiş sayılır ve fonlarınızı yeni bir cüzdana taşımalısınız.
Uzmanların Görüşleri
Ill Bloom zafiyeti, kendi kendine saklama (self-custody) cüzdanlarının temelini oluşturan kurtarma ifadelerinin zayıf rastgelelikle üretilmesinden kaynaklanıyor. Normalde 12 veya 24 kelimeden oluşan bu ifadeler, olasılık havuzu astronomik büyüklükte olduğu için tahmin edilemez. Ancak etkilenen cüzdan yazılımları, zayıf bir rastgele sayı üreteci (RNG) kullandığından olası ifade sayısı, saldırganın tarayabileceği bir aralığa düştü. Coinspect, saldırıyı baştan sona yeniden yapılandırarak zayıf üretecin üretebileceği tüm ifadeleri hesapladı, bunlardan türetilen cüzdan adreslerini çıkardı ve blok zincirinde hâlâ fon bulunan adresleri tespit etti.
30 Haziran itibarıyla Coinspect, Bitcoin, Ethereum, Rootstock, Tron ve Polygon ağlarında işlem gören 2.114 açık adres tespit etti. 27 Mayıs'taki koordineli saldırıda 431 adresten yaklaşık 3,1 milyon dolar çalındı. Bitcoin en büyük darbeyi aldı: yaklaşık 2,57 milyon dolar ve tek bir Bitcoin adresi 1,1 milyon dolardan fazla kaybetti. Saldırının koordineli olduğu, yüzlerce farklı cüzdandan gelen fonların birkaç saat içinde aynı toplama adreslerine gönderilmesinden anlaşıldı.
Gelecekte Ne Bekleniyor?
Ne yapmalısınız? illbloom.org adresindeki kontrol aracı, cüzdan adresinizi Coinspect'in bilinen zafiyetli cüzdanlar listesiyle karşılaştırıyor. Bitcoin, Tron, Solana ve Ethereum tarzı (Ethereum, Polygon, BNB ve diğer EVM zincirleri) adresleri destekliyor. Bir zayıf ifade, kontrol ettiği tüm zincirlerdeki fonları tehlikeye atabileceğinden, aynı ifadeye bağlı tüm adresleri kontrol edin. Temiz sonuç garanti değildir (liste eksik olabilir), ancak eşleşme net bir uyarıdır. Eşleşme varsa: Kurtarma ifadesini ele geçirilmiş kabul edin, yeni bir cüzdan oluşturun (yeni bir ifadeyle) ve fonlarınızı taşıyın. Eski ifadeyi kullanmaya devam etmeyin. Saldırganın atladığı (örneğin 5 doların altındaki) cüzdanlar da güvende değil; sonradan yatırılan fonlar çalınabilir. Dolandırıcılara dikkat edin: Asla kurtarma ifadenizi, özel anahtarınızı veya şifrenizi herhangi bir siteye veya mesaja girmeyin. En güvenli seçenek, donanım cüzdanı kullanarak yeni bir ifade oluşturmaktır.
Kaynak: thehackernews.com