Kripto Cüzdan Eklentileri Gizlilik Sızdırıyor: 85 Eklenti Üzerinde Yapılan Çalışma Adres Sızıntıları ve Siteler Arası İzleme Risklerini Ortaya Çıkardı Linux

Kripto Cüzdan Eklentileri Gizlilik Sızdırıyor: 85 Eklenti Üzerinde Yapılan Çalışma Adres Sızıntıları ve Siteler Arası İzleme Risklerini Ortaya Çıkardı

85 popüler kripto cüzdan eklentisi üzerinde yapılan bir araştırma, cüzdanların adres sızdırdığını ve kullanıcıları siteler arasında takip edilebilir h

KU Leuven Üniversitesi'ndeki araştırmacılar, tarayıcı eklentisi olarak çalışan 85 popüler kripto cüzdanını test etti ve cüzdanların kendilerinin, kullanıcılarını birbirine bağlamak ve takip etmek için yeterli bilgi sızdırdığını buldu. Bu cüzdanların web siteleri ve blok zinciri sunucularıyla iletişim kurma şekli, bir kişinin farklı adreslerini birbirine bağlayabiliyor ve dışarıdan kişilerin bu kullanıcıları siteden siteye takip etmesine olanak tanıyor. Ayrıca, halihazırda bir ad veya e-posta barındıran bir sitede, aynı sızıntılar 'anonim' bir kripto kimliğine gerçek bir isim ekleyebiliyor. Bu bir hack değil; cüzdanlar tam olarak tasarlandıkları gibi çalışıyor. İncelenen 85 eklentinin toplamda Chrome Web Mağazası'nda yaklaşık 35 milyon kullanıcısı bulunuyor.

Araştırma ekibi, üniversitenin DistriNet güvenlik grubundan, makalelerini bu ay yayınladı ve Temmuz sonunda Calgary'deki PETS 2026 gizlilik konferansında sunacak. Gerçek cüzdanları gerçek Web3 sitelerine karşı çalıştırarak, cüzdanlar ve web siteleri arasındaki etkileşimlerde beş gizlilik zayıflığı haritaladılar. Bunlardan en kapsamlı olanını yayınlamadan önce cüzdan üreticilerine bildirdiklerinde, çoğu bunu bir hata olarak kabul etmeyi reddetti.

Birinci sorun: Ayrı adresleriniz birbirine bağlanıyor. Birçok kişi, finansal hayatının farklı bölümlerini ayrı tutmak için kasıtlı olarak birkaç cüzdan adresi bulundurur. Bu, yalnızca hiç kimsenin adreslerin aynı kişiye ait olduğunu söyleyememesi durumunda işe yarar. Ancak bakiyenizi göstermek için bir cüzdan sürekli olarak harici sunuculara sorgu gönderir ve bu istekler adresinizi açık bir şekilde sunucuyu çalıştıran herkese taşır. Bir cüzdan, iki adresinizi tek bir isteğe koyduğunda, bu sunucu bunların size ait olduğunu öğrenir. On yedi cüzdan, bir kullanıcının ayrı adresleri arasındaki bağlantıyı ifşa etti. On üçü bunu bariz bir şekilde, iki adresi tek bir istekte birleştirerek yaptı. Dört tanesi ise ayrı istekleri birbirinin milisaniyeleri içinde ateşleyerek kendilerini ele verdi; bu daha zayıf ama yine de kullanışlı bir sinyal. Bu cüzdanlar birlikte, incelenen kurulumların yaklaşık 23 milyonunu kapsıyor. Sunucuyu çalıştıran kişi veya daha sonra verilerini alan herhangi biri, adresleri tek bir profilde birleştirebilir.

İkinci sorun: Oturumu kapatmak çoğu zaman sizi gerçekten kapatmaz. Bu sorun ve bir sonraki sorun, ortak bir başlangıç noktasını paylaşıyor: bir web sitesi hangi cüzdanları yüklediğinizi söyleyebilir. Her cüzdan, yüklediği her sayfaya kendini tanıtır, bu nedenle bir betik, taşıdığınız tam seti okuyabilir; bu, bir cüzdanı hiç bağlamasanız ve çerezleri engelleseniz bile çalışan bir parmak izidir. Araştırmacılar, 85 cüzdandan 36'sının bunu yaptığını ve kullanıcılarının incelenen kurulumların yaklaşık %82'sini oluşturduğunu buldu. Aynı 36 cüzdan, aşağıdaki sayıların arkasındaki gruptur. Bir cüzdanı bir siteye bağlayıp daha sonra bağlantıyı kestiğinizde, sitenin erişimi kaybettiğini varsayarsınız. Ancak çoğu zaman, iki ayrı nedenden dolayı kaybetmez. İlk olarak, birçok site aslında cüzdana erişimi kesmesini söylemez. Ekibin test ettiği 30 popüler Web3 uygulamasından yalnızca 11'i, bir kullanıcı 'Bağlantıyı Kes' veya 'Oturumu Kapat'ı tıkladığında gerçek bir iptal komutu gönderdi. Geri kalanı sadece kendi ekranlarını temizledi. İkinci olarak, komut gönderildiğinde bile, birçok cüzdan bunu görmezden gelir. Bu 36 cüzdanın 22'sinde, site, cüzdandan erişimi iptal etmesini istedikten sonra adresinizi okuyabiliyordu ve bu erişim, çerezleri temizlemekten ve tarayıcıyı yeniden başlatmaktan kurtuldu. Bu, adresi güçlü bir izleme etiketi haline getirir. Küresel olarak benzersizdir ve bir çerezin aksine, tarayıcınızı temizlediğinizde kaybolmaz. Eski izin, cüzdanın 'Bağlı Siteler' listesini açıp siteyi elle kaldırana kadar eklentinin içinde kalır; o zamana kadar sayfadaki bir betik, adresi arka planda okumaya devam eder.

Nasıl Önlem Alınmalı?

Üçüncü sorun: Bir kez bağlandığınız bir cüzdan, sizi diğer sitelerde ifşa edebilir. Son sorun en uzağa uzanır. Aynı 36 cüzdandan 23'ü, adresinizi bir sayfanın başka bir siteden yüklediği bir çerçevenin içinden dağıtacaktır. Tek başına bu hiçbir şey yapmaz. İşin püf noktası, paylaşılan bir izleyicinin bununla neler yapabileceğidir. Diyelim ki aynı izleme betiği, bir zamanlar bağlandığınız bir kripto uygulamasında ve sıradan, ilgisiz bir web sitesinde çalışıyor. Sıradan sitede, izleyici sessizce o kripto uygulamasını görünmez bir çerçevenin içine yükler. Uygulamanın sayfası zaten cüzdan tarafından yetkilendirilmiştir ve bu cüzdanlar çerçevenin içinden yanıt verir, bu nedenle cüzdan adresi kullanıcıdan herhangi bir tıklama olmadan betiğe geri verir. Bunun çalışması için uygulamanın gömülmeye izin vermesi gerekir, ancak birçoğu buna izin verir. Bu adresi, sitenin halihazırda dosyasında bulunan bir ad veya e-postaya bağlayın ve takma adlı bir kripto profili, adı olan bir kişiye dönüşür. Bir cüzdan adresi, bakiyelerinin, işlemlerinin ve token varlıklarının kamuya açık bir kaydıdır. Bunu gerçek bir kimlik ve bir gezinme geçmişiyle birleştirin ve bir saldırgan, parası artık görünürde olan adlandırılmış bir hedefe sahip olur. Araştırmacılar bu yolun gerçek ve kullanılabilir olduğunu gösterdi; izleyicilerin bunu zaten büyük ölçekte çalıştırdığını iddia etmediler.

Ne yapmalı ve sektör nasıl yanıt verdi? Kullanıcılar için düzeltmeler yalnızca kısmi. Cüzdanınızı açın ve artık kullanmadığınız eski site izinlerini temizleyin. Bu, ikinci sorundaki eski adres izlemeyi durdurur, ancak sunuculara adres sızıntıları veya yüklü cüzdan parmak izi hakkında hiçbir şey yapmaz. Araştırmacıların demosu, kendi cüzdanınızın nasıl davrandığını gösterir; tarayıcınızda çalışır ve hiçbir şey saklamaz. Güvende olmak için tek kullanımlık bir cüzdan kullanın. Farklı etkinlikleri ayrı cüzdanlarda veya tarayıcı profillerinde tutmak da yardımcı olur. Daha büyük düzeltmeler kullanıcıların elinde değil. Araştırmacılar, ifşalarını bu siteler arası soruna odakladı ve yayınlamadan önce etkilenen cüzdan üreticilerini bilgilendirdi. Şubat 2026'daki bir yeniden test itibarıyla, Coinbase Wallet ve Coin98 sorunu düzeltmişti ve Hana Wallet daha sonra düzeltti. Ancak makalenin hata ödül programları aracılığıyla yanıt verdiğini söylediği sekiz satıcıdan çoğu, bunu bir hata olarak ele almayı reddetti. MetaMask bunu bilinen bir sorun olarak nitelendirdi, raporu kopya olarak kapattı ve sağlayıcısını enjekte etmeyi durdurma planı olmadığını çünkü bunun çok fazla uygulamayı bozacağını söyledi. Rabby, saldırının aynı anda iki sitede aynı kötü niyetli betiğin çalışması gerektiğini ve bunun 'neredeyse imkansız' olduğunu söyleyerek 'güvenlik açığının mevcut olmadığı' sonucuna vardı. OKX, bulgunun teknik olarak doğru olduğunu kabul etti ancak daha sonra yanıt vermedi.

Kaynak: thehackernews.com

Paylaş: