KU Leuven Üniversitesi'ndeki araştırmacılar, tarayıcı eklentisi olarak çalışan 85 popüler kripto cüzdanını test etti ve cüzdanların kullanıcıları bağlama ve takip etmeye yetecek kadar bilgi sızdırdığını buldu. Bu cüzdanlar, web siteleri ve blokzincir sunucularıyla iletişim kurarken, kullanıcıların farklı adreslerini birbirine bağlayarak dışarıdan kişilerin siteden siteye takip etmesine olanak tanıyor. Üstelik, halihazırda bir isim veya e-posta barındıran bir sitede, bu sızıntılar 'anonim' bir kripto kimliğine gerçek bir isim ekleyebiliyor. Bu bir hack değil; cüzdanlar tam da yapıldıkları gibi davranıyor. Test edilen 85 eklentinin Chrome Web Mağazası'nda toplamda yaklaşık 35 milyon kullanıcısı bulunuyor.
Araştırma ekibi, gerçek cüzdanları gerçek Web3 sitelerine karşı çalıştırarak cüzdanlar ve web siteleri arasındaki etkileşimlerde beş gizlilik zayıflığı haritaladı. En kapsamlı olanı yayınlamadan önce cüzdan üreticilerine bildirdiklerinde, çoğu bunu bir hata olarak kabul etmeyi reddetti. İlk sorun, ayrı adreslerin birbirine bağlanması. Birçok kişi, finansal hayatını ayırmak için birden fazla cüzdan adresini bilinçli olarak kullanır. Ancak bu yalnızca hiç kimse bu adreslerin aynı kişiye ait olduğunu anlayamazsa işe yarar. Bakiye göstermek için cüzdan sürekli olarak dış sunuculara ping atar ve bu istekler adresinizi açık bir şekilde sunucuyu yöneten kişiye taşır. Cüzdan iki adresinizi tek bir istekte birleştirdiğinde, bu sunucu her iki adresin de size ait olduğunu öğrenir. On yedi cüzdan, kullanıcının ayrı adresleri arasındaki bağlantıları ifşa etti. On üçü bunu bariz bir şekilde yaparken, dördü milisaniyeler içinde ayrı istekler göndererek daha zayıf ancak yine de kullanışlı bir sinyal verdi.
Birlikte, bu cüzdanlar incelenen kurulumların yaklaşık 23 milyonunu kapsıyor. Sunucuyu yöneten kişi veya daha sonra verilerini alan herhangi biri, adresleri tek bir profilde birleştirebilir. İkinci sorun, oturum kapatmanın genellikle sizi gerçekten kapatmaması. Bu sorun ve bir sonraki sorun aynı başlangıç noktasını paylaşıyor: bir web sitesi hangi cüzdanları yüklediğinizi anlayabilir. Her cüzdan, yüklendiği her sayfaya kendini tanıtır, bu nedenle bir komut dosyası, bir cüzdana hiç bağlanmasanız ve çerezleri engelleseniz bile çalışan bir parmak izi olan tam seti okuyabilir. Araştırmacılar, 85 cüzdandan 36'sının bunu yaptığını ve kullanıcılarının incelenen kurulumların yaklaşık %82'sini oluşturduğunu buldu. Aynı 36 cüzdan, aşağıdaki sayıların arkasındaki gruptur. Bir cüzdanı bir siteye bağladığınızda ve daha sonra bağlantıyı kestiğinizde, sitenin erişimi kaybettiğini varsayarsınız. Çoğu zaman, iki ayrı nedenden dolayı kaybetmez.
İlk olarak, birçok site cüzdana erişimi kesmesini asla söylemez. Ekibin test ettiği 30 popüler Web3 uygulamasından yalnızca 11'i, bir kullanıcı Bağlantıyı Kes veya Oturumu Kapat'ı tıkladığında gerçek bir iptal komutu gönderdi. Geri kalanı yalnızca kendi ekranlarını temizledi. İkinci olarak, komut gönderildiğinde bile birçok cüzdan bunu görmezden gelir. Bu 36 cüzdanın 22'sinde, site adresinizi iptal etmesini istedikten sonra hala okuyabiliyordu ve bu erişim çerezleri temizlemekten ve tarayıcıyı yeniden başlatmaktan kurtuldu. Bu, adresi güçlü bir izleme etiketi haline getiriyor. Küresel olarak benzersizdir ve bir çerezin aksine, tarayıcınızı temizlediğinizde kaybolmaz. Eski izin, cüzdanın 'Bağlı Siteler' listesini açıp siteyi elle kaldırana kadar eklentinin içinde oturur; o zamana kadar, sayfadaki bir komut dosyası adresi arka planda okumaya devam eder.
Üçüncü sorun en uzağa ulaşıyor. Aynı 36 cüzdandan 23'ü, bir sayfanın başka bir siteden yüklediği bir çerçevenin içinden adresinizi verecektir. Tek başına bu hiçbir şey yapmaz. Asıl mesele, paylaşılan bir izleyicinin bununla ne yapabileceğidir. Diyelim ki aynı izleme komut dosyası, daha önce bağlandığınız bir kripto uygulamasında ve sıradan, ilgisiz bir web sitesinde çalışıyor. Sıradan sitede, izleyici sessizce o kripto uygulamasını görünmez bir çerçeve içinde yükler. Uygulamanın sayfası cüzdan tarafından zaten yetkilendirilmiştir ve bu cüzdanlar çerçevenin içinden yanıt verir, böylece cüzdan adresi kullanıcıdan herhangi bir tıklama olmadan komut dosyasına geri verir. Uygulamanın gömülmeye izin vermesi gerekir, ancak birçoğu buna izin veriyor. Bu adresi sitenin dosyasında bulunan bir ad veya e-posta ile ilişkilendirin ve takma adlı bir kripto profili adlandırılmış bir kişiye dönüşür. Bir cüzdan adresi, bakiyelerinin, işlemlerinin ve token varlıklarının kamuya açık bir kaydıdır. Bunu gerçek bir kimlik ve gezinme geçmişiyle birleştirin ve bir saldırganın parası artık görünürde olan adlandırılmış bir hedefi vardır.
Araştırmacılar bu yolun gerçek ve kullanılabilir olduğunu gösterdi; izleyicilerin bunu büyük ölçekte zaten çalıştırdığını iddia etmediler. Kullanıcılar için düzeltmeler yalnızca kısmi. Cüzdanınızı açın ve artık kullanmadığınız eski site izinlerini temizleyin. Bu, İkinci Sorun'daki eski adres takibini durdurur, ancak sunuculara adres sızıntıları veya yüklü cüzdan parmak izi hakkında hiçbir şey yapmaz. Araştırmacıların demosu, kendi cüzdanınızın nasıl davrandığını gösterir; tarayıcınızda çalışır ve hiçbir şey saklamaz. Güvenli olmak için tek kullanımlık bir cüzdan kullanın. Farklı etkinlikleri ayrı cüzdanlarda veya tarayıcı profillerinde tutmak da yardımcı olur. Daha büyük düzeltmeler kullanıcıların elinde değil.
Araştırmacılar ifşalarını bu çapraz site sorununa odakladı ve yayınlamadan önce etkilenen cüzdan üreticilerine bildirdi. Şubat 2026'daki bir yeniden test itibarıyla, Coinbase Wallet ve Coin98 sorunu düzeltmişti ve Hana Wallet daha sonra düzeltti. Ancak makalenin hata ödül programları aracılığıyla yanıt verdiğini söylediği sekiz satıcıdan çoğu, bunu bir hata olarak ele almayı reddetti. MetaMask bunu bilinen bir sorun olarak nitelendirdi, raporu kopya olarak kapattı ve sağlayıcısını enjekte etmeyi durdurma planı olmadığını çünkü bunun çok fazla uygulamayı bozacağını söyledi. Rabby, saldırının aynı anda iki sitede aynı kötü amaçlı komut dosyasının çalışmasını gerektireceğini ve bunun 'neredeyse imkansız' olduğunu söyleyerek 'güvenlik açığının var olmadığı' sonucuna vardı. OKX, bulgunun teknik olarak doğru olduğunu kabul etti ancak yakın zamanda bir düzeltme planı olmadığını belirtti.
Kaynak: thehackernews.com