KU Leuven Üniversitesi DistriNet güvenlik grubu araştırmacıları, en popüler 85 kripto para cüzdanı eklentisini test ederek önemli mahremiyet açıkları tespit etti. Çalışma, bu eklentilerin kullanıcıların farklı adreslerini birbirine bağlayarak çapraz site takibine olanak tanıdığını ve anonim kripto kimliklerinin gerçek isimlerle eşleştirilebileceğini gösteriyor. Bu bir hack değil; cüzdanlar tam olarak tasarlandıkları gibi çalışıyor. Chrome Web Mağazası'nda listelenen 85 eklentinin toplamda yaklaşık 35 milyon kullanıcısı bulunuyor.
Araştırma, cüzdanların web siteleri ve blokzincir sunucularıyla iletişim şeklinin beş farklı mahremiyet zafiyeti oluşturduğunu ortaya koyuyor. Bunlardan en yaygın olanı, kullanıcıların farklı cüzdan adreslerinin birbirine bağlanmasına yol açıyor. Birçok kişi, finansal hayatlarını ayrı tutmak için birden fazla cüzdan adresi kullanır. Ancak cüzdanlar, bakiyeleri göstermek için sürekli olarak harici sunuculara istek gönderir ve bu istekler adresleri açık bir şekilde içerir. On yedi cüzdan, kullanıcıların farklı adresleri arasındaki bağlantıyı ifşa etti; bunlardan 13'ü iki adresi tek bir istekte birleştirirken, dördü milisaniyeler içinde ayrı istekler göndererek bağlantıyı sızdırdı. Bu cüzdanlar, incelenen kurulumların yaklaşık 23 milyonunu kapsıyor.
İkinci büyük sorun, oturum kapatma işleminin gerçekte kullanıcıyı oturumdan çıkarmaması. Bir web sitesi, hangi cüzdanların yüklü olduğunu tespit edebiliyor. 85 cüzdandan 36'sı, kendisini her sayfaya tanıtarak, kullanıcı cüzdanı bağlamasa veya çerezleri engellese bile parmak izi oluşturulmasına izin veriyor. Bu cüzdanlar, incelenen kurulumların %82'sini oluşturuyor. Kullanıcı bir cüzdanı siteye bağlayıp daha sonra bağlantıyı kestiğinde, çoğu zaman site erişimi kaybetmiyor. Test edilen 30 popüler Web3 uygulamasından sadece 11'i, kullanıcı 'Bağlantıyı Kes' veya 'Oturumu Kapat' dediğinde gerçek bir iptal komutu gönderiyor. Ayrıca, 36 cüzdandan 22'sinde, site, cüzdandan iptal etmesi istendikten sonra bile adresi okuyabiliyor ve bu erişim çerezleri temizlemeye ve tarayıcıyı yeniden başlatmaya dayanıklı.
Sistem Güvenliği
En ciddi sorun ise çapraz site takibi. Aynı 36 cüzdandan 23'ü, bir sayfanın başka bir siteden yüklediği bir çerçeve içinden adresinizi veriyor. Aynı izleme komut dosyası, daha önce bağlandığınız bir kripto uygulamasında ve sıradan, ilgisiz bir web sitesinde çalışıyorsa, izleyici sıradan sitede o kripto uygulamasını görünmez bir çerçeve içinde yükleyebilir. Uygulamanın sayfası zaten cüzdan tarafından yetkilendirildiği ve bu cüzdanlar çerçeve içinden yanıt verdiği için, cüzdan adresi kullanıcı tıklaması olmadan komut dosyasına geri gönderiyor. Bu adres, sitede zaten bulunan bir isim veya e-postayla ilişkilendirildiğinde, anonim bir kripto profili gerçek bir kişiye dönüşüyor.
Uzmanların Görüşleri
Araştırmacılar, bu güvenlik açıklarını bildirdiklerinde çoğu cüzdan üreticisi bunu bir hata olarak kabul etmedi. MetaMask, bunu bilinen bir sorun olarak nitelendirip raporu kapattı ve sağlayıcısını enjekte etmeyi durdurma planı olmadığını söyledi. Rabby, saldırının aynı anda iki sitede kötü niyetli komut dosyası çalıştırmasını gerektirdiğini belirterek açığın var olmadığını iddia etti. OKX, bulguyu teknik olarak doğru buldu ancak düzeltme yapmadı. Coinbase Wallet, Coin98 ve Hana Wallet ise sorunu giderdi.
Önemli Gelişmeler
Kullanıcılar için çözümler sınırlı. Eski site izinlerini temizlemek, oturum kapatma sorununu giderebilir ancak adres sızıntılarına veya yüklü cüzdan parmak izine karşı etkili değil. Araştırmacılar, kullanıcıların kendi cüzdan davranışlarını test etmek için bir demo oluşturdu. Farklı aktiviteler için ayrı cüzdanlar veya tarayıcı profilleri kullanmak öneriliyor. Daha büyük düzeltmeler ise kullanıcıların elinde değil; endüstrinin mahremiyet konusunda daha duyarlı olması gerekiyor.
Kaynak: thehackernews.com