Kripto Cüzdan Eklentileri Büyük Güvenlik Açığı: 85 Eklentiden 23'ü Adres Sızdırıyor ve Çapraz Site Takibine İzin Veriyor Siber Güvenlik

Kripto Cüzdan Eklentileri Büyük Güvenlik Açığı: 85 Eklentiden 23'ü Adres Sızdırıyor ve Çapraz Site Takibine İzin Veriyor

KU Leuven araştırmacıları, 85 popüler kripto cüzdan eklentisinde adres sızıntıları ve çapraz site takibi riskleri tespit etti. Kullanıcıların anonimli

Belçika'daki KU Leuven Üniversitesi araştırmacıları, tarayıcı eklentisi olarak çalışan 85 popüler kripto cüzdanını test etti ve cüzdanların kullanıcıların anonimliğini tehlikeye atacak şekilde adres sızdırdığını ve çapraz site takibine izin verdiğini ortaya çıkardı. Bu güvenlik açıkları, kullanıcıların farklı cüzdan adreslerini birbirine bağlayarak kimliklerinin ifşa olmasına yol açabiliyor. Araştırma, kripto para dünyasında sıkça vurgulanan anonimlik iddiasının ne kadar kırılgan olduğunu bir kez daha gözler önüne seriyor.

Araştırmacılar, cüzdanların web siteleri ve blok zinciri sunucularıyla iletişim kurma şeklinin, kullanıcıların farklı adreslerini birbirine bağlamaya ve siteler arasında takip edilmelerine olanak tanıdığını belirtiyor. Özellikle, bir site kullanıcının adını veya e-posta adresini zaten biliyorsa, bu sızıntılar 'anonim' bir kripto kimliğini gerçek bir kişiyle eşleştirebiliyor. Bu durum, kripto cüzdanlarının tasarımından kaynaklanan bir özellik olarak nitelendiriliyor ve bir hack saldırısı olarak görülmüyor. Araştırma kapsamında incelenen 85 eklentinin Chrome Web Mağazası'nda toplamda yaklaşık 35 milyon kullanıcısı bulunuyor.

Araştırma ekibi, gerçek cüzdanları gerçek Web3 sitelerine karşı test ederek beş farklı gizlilik zayıflığı tespit etti. Bunlardan en kapsamlısı olan çapraz site takibi sorunu, cüzdan üreticilerine bildirilmesine rağmen çoğu üretici bunu bir hata olarak kabul etmedi. İlk sorun, kullanıcıların farklı cüzdan adreslerinin birbirine bağlanması. Birçok kullanıcı, finansal hayatlarını ayrı tutmak için birden fazla cüzdan adresi kullanıyor. Ancak cüzdanlar, bakiyeleri göstermek için sürekli olarak dış sunuculara istek gönderiyor ve bu istekler, kullanıcının adresini açık bir şekilde içeriyor. On yedi cüzdan, kullanıcının farklı adresleri arasındaki bağlantıyı ifşa etti. Bunlardan on üçü, iki adresi tek bir istekte birleştirirken, dördü aynı anda birden fazla istek göndererek adreslerin aynı kullanıcıya ait olduğunu ele verdi.

İkinci sorun, oturum kapatma işleminin genellikle gerçekten oturumu kapatmaması. Bir web sitesi, kullanıcının hangi cüzdanları yüklediğini tespit edebiliyor. Araştırmacılar, 85 cüzdandan 36'sının bu şekilde çalıştığını ve bu cüzdanların kullanıcılarının incelenen kurulumların yaklaşık %82'sini oluşturduğunu buldu. Kullanıcı bir cüzdanı bir siteye bağlayıp daha sonra bağlantıyı kestiğinde, sitenin erişimi kaybettiğini varsayar. Ancak çoğu zaman durum böyle olmuyor. Test edilen 30 popüler Web3 uygulamasından sadece 11'i, kullanıcı 'Bağlantıyı Kes' veya 'Oturumu Kapat' butonuna tıkladığında gerçek bir iptal komutu gönderiyor. Geri kalanı sadece kendi ekranını temizliyor. Ayrıca, komut gönderildiğinde bile birçok cüzdan bunu görmezden geliyor.

Teknik Analiz

Üçüncü ve en tehlikeli sorun ise çapraz site takibi. Aynı 36 cüzdandan 23'ü, bir sayfanın başka bir siteden yüklediği bir çerçeve içinden kullanıcının adresini paylaşıyor. Bu, özellikle aynı izleme kodunun hem kripto uygulamasında hem de sıradan bir web sitesinde çalışması durumunda risk oluşturuyor. Sıradan site, kripto uygulamasını görünmez bir çerçeve içinde yükleyerek cüzdanın adresi otomatik olarak döndürmesini sağlayabiliyor. Bu adres, sitede zaten bulunan bir isim veya e-postayla ilişkilendirildiğinde, anonim bir kripto profili gerçek bir kişiye dönüşüyor. Bir cüzdan adresi, bakiyeler, işlemler ve token varlıklarının kamuya açık bir kaydı olduğu için, bu durum kullanıcıyı finansal olarak hedef haline getiriyor.

Nasıl Önlem Alınmalı?

Kullanıcılar için çözümler sınırlı. Eski site izinlerini temizlemek, ikinci sorundaki takibi engelliyor ancak adres sızıntılarına veya cüzdan parmak izine karşı bir koruma sağlamıyor. Araştırmacıların demo aracı, kullanıcının kendi cüzdanının nasıl davrandığını gösteriyor ve hiçbir şey depolamıyor. Güvenlik için tek kullanımlık bir cüzdan kullanmak veya farklı aktiviteler için ayrı cüzdanlar ya da tarayıcı profilleri oluşturmak öneriliyor. Ancak daha büyük düzeltmeler kullanıcıların elinde değil. Araştırmacılar, çapraz site sorununu etkilenen cüzdan üreticilerine bildirdi. Coinbase Wallet ve Coin98 sorunu Şubat 2026 itibarıyla düzeltti, Hana Wallet da daha sonra düzeltti. Ancak sekiz satıcıdan çoğu, bunu bir hata olarak kabul etmedi.

MetaMask, sorunu bilinen bir sorun olarak nitelendirip raporu kopya olarak kapatırken, yakın zamanda bir düzeltme planı olmadığını belirtti. Rabby, saldırının aynı anda iki sitede aynı kötü amaçlı kodun çalışmasını gerektirdiğini ve bunun 'neredeyse imkansız' olduğunu söyleyerek güvenlik açığını reddetti. OKX, bulguyu teknik olarak doğru buldu ancak düzeltme için acele etmedi. Bu yanıtlar, kripto endüstrisinin gizlilik konusundaki yaklaşımını sorgulatıyor. Kullanıcıların, cüzdan seçiminde bu tür güvenlik açıklarını dikkate alması ve bilinçli hareket etmesi büyük önem taşıyor.

Sistem Güvenliği

Araştırma, kripto cüzdanlarının anonimlik vaadinin ne kadar kırılgan olduğunu gösteriyor. Kullanıcıların, cüzdan eklentilerinin bu tür açıklarını bilerek hareket etmeleri ve mümkün olduğunca az sayıda siteye cüzdan bağlamaları öneriliyor. Ayrıca, düzenli olarak cüzdan izinlerini kontrol etmek ve kullanılmayan bağlantıları temizlemek, en azından bazı riskleri azaltabilir. Kripto dünyasında gizlilik, kullanıcıların kendi aldığı önlemlerle mümkün olacak gibi görünüyor.

Kaynak: thehackernews.com

Paylaş: