Kripto Cüzdan Eklentilerinde Büyük Gizlilik Riski: 85 Eklentiden 23'ü Adres Sızdırıyor Yazılım

Kripto Cüzdan Eklentilerinde Büyük Gizlilik Riski: 85 Eklentiden 23'ü Adres Sızdırıyor

KU Leuven araştırmacıları, 85 kripto cüzdan eklentisini test ederek adres sızıntıları ve çapraz site takibi risklerini ortaya çıkardı.

Belçika'daki KU Leuven üniversitesinin DistriNet güvenlik grubu, en popüler 85 kripto cüzdan tarayıcı eklentisini mercek altına aldı. Araştırma, bu eklentilerin kullanıcıların farklı adreslerini birbirine bağlayarak ve siteler arasında takip edilmelerine olanak tanıyarak ciddi gizlilik ihlallerine yol açtığını gösteriyor. Sadece Chrome Web Store'da toplamda yaklaşık 35 milyon kullanıcısı olan bu eklentiler, tasarım gereği bu şekilde çalışıyor; yani bu bir hack değil, bilinçli veya bilinçsiz bir tasarım tercihi.

Araştırmacılar, gerçek cüzdanları gerçek Web3 sitelerine karşı test ederek beş farklı gizlilik zayıflığı haritaladı. Bunlardan en yaygın olanı, kullanıcıların ayrı cüzdan adreslerini birbirine bağlama sorunu. Birçok kişi, finansal hayatlarının farklı bölümlerini ayırmak için birden fazla adres kullanır. Ancak cüzdanlar bakiyeleri göstermek için sürekli olarak harici sunuculara istek gönderir ve bu istekler adresleri açık bir şekilde iletir. On yedi cüzdan, kullanıcının ayrı adresleri arasındaki bağlantıyı ifşa etti. Bunlardan on üçü, iki adresi aynı istekte birleştirerek bunu bariz bir şekilde yaparken, dördü milisaniyeler içinde ayrı istekler göndererek daha zayıf ama yine de kullanışlı bir sinyal verdi. Bu cüzdanlar, incelenen kurulumların yaklaşık 23 milyonunu kapsıyor.

İkinci büyük sorun, oturum kapatma işleminin genellikle gerçekten oturumu kapatmaması. Bir web sitesi, hangi cüzdanların yüklü olduğunu tespit edebilir. Araştırmacılar, 85 cüzdandan 36'sının bu şekilde çalıştığını ve kullanıcılarının incelenen kurulumların yaklaşık %82'sini oluşturduğunu buldu. Bir cüzdanı bir siteye bağlayıp daha sonra bağlantıyı kestiğinizde, sitenin erişimi kaybettiğini varsayarsınız. Ancak çoğu zaman durum böyle değil. Test edilen 30 popüler Web3 uygulamasından sadece 11'i, kullanıcı 'Bağlantıyı Kes' veya 'Çıkış Yap' düğmesine tıkladığında gerçek bir iptal komutu gönderdi. Geri kalanı sadece kendi ekranlarını temizledi. Ayrıca, komut gönderilse bile, bu 36 cüzdanın 22'sinde site, iptal istedikten sonra bile adresinizi okuyabildi ve bu erişim, çerezleri temizleme ve tarayıcıyı yeniden başlatma işlemlerinden sonra bile devam etti. Bu, adresi güçlü bir izleme etiketi haline getiriyor; küresel olarak benzersiz ve çerezlerin aksine tarayıcıyı temizlediğinizde kaybolmuyor.

En ciddi gizlilik riski ise üçüncü sorunda yatıyor: Daha önce bağlandığınız bir cüzdan, sizi diğer sitelerde ifşa edebilir. Aynı 36 cüzdandan 23'ü, bir sayfanın başka bir siteden yüklediği bir çerçeve içinden adresinizi verecek. Diyelim ki aynı izleme komut dosyası, daha önce bağlandığınız bir kripto uygulamasında ve sıradan, ilgisiz bir web sitesinde çalışıyor. Sıradan sitede, izleyici sessizce o kripto uygulamasını görünmez bir çerçeve içinde yüklüyor. Uygulamanın sayfası cüzdan tarafından zaten yetkilendirildiğinden ve bu cüzdanlar çerçeve içinden yanıt verdiğinden, cüzdan adresi kullanıcı herhangi bir tıklama yapmadan komut dosyasına geri veriyor. Bu adresi sitenin zaten sahip olduğu bir ad veya e-postayla ilişkilendirin ve anonim bir kripto profili, adı bilinen bir kişiye dönüşür. Bir cüzdan adresi, bakiyelerin, işlemlerin ve token varlıklarının halka açık bir kaydıdır. Bunu gerçek bir kimlik ve gezinme geçmişiyle birleştirin ve bir saldırganın parası artık görünür olan adlandırılmış bir hedefi olur.

Araştırmacılar, bu yolun gerçek ve kullanılabilir olduğunu gösterdiler; ancak izleyicilerin bunu zaten büyük ölçekte çalıştırdığını iddia etmediler. Kullanıcılar için düzeltmeler yalnızca kısmi. Cüzdanınızı açın ve artık kullanmadığınız eski site izinlerini temizleyin. Bu, eski adres takibini durdurur, ancak sunuculara adres sızıntıları veya yüklü cüzdan parmak izi hakkında hiçbir şey yapmaz. Araştırmacıların demosu, kendi cüzdanınızın nasıl davrandığını gösteriyor; tarayıcınızda çalışıyor ve hiçbir şey saklamıyor. Güvenlik için geçici bir cüzdan kullanmak da faydalı olabilir. Farklı etkinlikleri ayrı cüzdanlarda veya tarayıcı profillerinde tutmak da yardımcı olur. Daha büyük düzeltmeler kullanıcıların elinde değil.

Nasıl Önlem Alınmalı?

Araştırmacılar, ifşalarını bu çapraz site sorununa odakladı ve yayınlamadan önce etkilenen cüzdan üreticilerine bildirdi. Şubat 2026'daki bir yeniden testte, Coinbase Wallet ve Coin98 sorunu düzeltmişti ve Hana Wallet daha sonra düzeltti. Ancak, makalenin hata ödül programları aracılığıyla yanıt verdiğini söylediği sekiz satıcıdan çoğu, bunu bir hata olarak ele almayı reddetti. MetaMask, bunu bilinen bir sorun olarak nitelendirdi, raporu kopya olarak kapattı ve sağlayıcısını enjekte etmeyi durdurma planının olmadığını söyledi. Rabby, saldırının aynı anda iki sitede aynı kötü amaçlı komut dosyasının çalışmasını gerektireceğini ve bunun 'neredeyse imkansız' olduğunu iddia ederek 'güvenlik açığının mevcut olmadığı' sonucuna vardı. OKX, bulgunun teknik olarak doğru olduğunu kabul etti, ancak bunu bir güvenlik sorunu olarak görmedi. Bu tepkiler, kripto endüstrisinde gizlilik ve güvenlik konularına yaklaşımın hala ne kadar olgunlaşmamış olduğunu gösteriyor.

Kaynak: thehackernews.com

Paylaş: