Kripto Cüzdanlardaki 'Ill Bloom' Açığı: 5 Milyon Dolardan Fazla Para Çalındı Windows

Kripto Cüzdanlardaki 'Ill Bloom' Açığı: 5 Milyon Dolardan Fazla Para Çalındı

Coinspect firması, 'Ill Bloom' adını verdiği bir kripto cüzdan açığını duyurdu. Saldırganlar, zayıf rastgelelikle üretilen kurtarma ifadelerini kullan

Güvenlik firması Coinspect, 'Ill Bloom' olarak adlandırdığı bir kripto cüzdan açığını kamuoyuna duyurdu ve saldırganların bu açığı aktif olarak kullandığını bildirdi. Açık, bazı cüzdan yazılımlarının kurtarma ifadesini (seed phrase) oluşturma biçimindeki bir zayıflıktan kaynaklanıyor. Bu ifade, kripto paranın kontrolünü sağlayan kelimelerdir. Zayıf rastgelelikle üretildiğinde, saldırganlar bu ifadeyi tahmin ederek cüzdandaki tüm varlıklara erişebiliyor.

Coinspect, 27 Mayıs'ta gerçekleşen koordineli bir saldırıda 431 cüzdandan yaklaşık 3.1 milyon dolar çalındığını doğruladı. The Hacker News'e yapılan açıklamada, ardından başka bir cüzdandan 2.1 milyon dolar değerinde USDT'nin daha çalınmasıyla toplam kaybın 5 milyon doları aştığı belirtildi. Firma, 'son zamanlarda izinsiz para hareketi fark ettiyseniz, bu açık sebep olabilir' uyarısında bulundu.

Çoğu kullanıcı muhtemelen güvende. Coinspect, donanım cüzdanlarda oluşturulan cüzdanların etkilenmediğini ve ana akım yazılım cüzdanlarının da çoğunun etkilenmediğini söylüyor. Asıl risk, 2018'e dayanan eski veya daha az bilinen cüzdanlarda, hem mobil uygulamalar hem de tarayıcı uzantılarında. Hangi uygulamaların etkilendiği açıklanmadı, bu yüzden tek yol kontrol etmek. Kamuya açık cüzdan adresinizi illbloom.org adresindeki ücretsiz denetleyiciye yapıştırın. Eşleşme varsa, kurtarma ifadesi güvenliği ihlal edilmiş sayılmalı ve fonlar yeni bir cüzdana taşınmalı.

Detaylar ve Etkileri

Aslında ne kırıldı? Kendi kendine saklama (self-custody) cüzdanlarının her biri, genellikle 12 veya 24 kelimeden oluşan bir kurtarma ifadesiyle başlar. Bu kelimelerin, tahmin edilmesi imkansız derecede geniş bir havuzdan rastgele seçilmesi gerekir. Etkilenen cüzdanlar yeterince rastgele değildi. Yazılımları, ifadeyi oluştururken zayıf bir rastgele sayı üreteci kullandı. Bu, olası ifadelerin havuzunu astronomik boyuttan saldırganın tarayabileceği bir aralığa indirdi. Firma, havuzun ne kadar küçüldüğünü açıklamadı.

Sistem Güvenliği

Coinspect, saldırıyı baştan sona yeniden inşa ettiğini belirtti. Zayıf üretecin üretebileceği tüm ifadeleri taradı, her birinin yol açtığı cüzdan adreslerini türetti ve hala fon tutan adresler için blok zinciri kayıtlarını kontrol etti. Sonuç, hangi uygulama tarafından oluşturulduğuna bakılmaksızın zayıf doğan cüzdanların bir izleme listesi oldu.

Sayılarla hırsızlık: 30 Haziran itibarıyla Coinspect, Bitcoin, Ethereum, Rootstock, Tron ve Polygon ağlarında işlem gören 2,114 açık adres tespit etti. 27 Mayıs'taki saldırı, bunlardan 431'inden yaklaşık 3.1 milyon dolar çaldı. Bitcoin yaklaşık 2.57 milyon dolarla en ağır darbeyi alırken, tek bir Bitcoin adresi 1.1 milyon dolardan fazla kaybetti. Araştırmacılar, yüzlerce ilgisiz cüzdanın saatler içinde bakiyelerini aynı birkaç toplama adresine göndermesinden bunun koordineli bir hırsızlık olduğunu anladı.

Ne yapmalı? illbloom.org adresindeki denetleyici, kamuya açık cüzdan adresinizi Coinspect'in bilinen zayıf cüzdanlar listesiyle karşılaştırır. Bitcoin, Tron, Solana ve Ethereum tarzı adresleri (Ethereum, Polygon, BNB ve diğer EVM zincirleri) kabul eder. Zayıf bir ifade, kontrol ettiği tüm zincirlerdeki fonları tehlikeye atabilir, bu nedenle aynı tohumla bağlantılı tüm adresleri kontrol edin. Temiz sonuç bir garanti değildir, ancak eşleşme açık bir uyarıdır. Adresiniz eşleşiyorsa, kurtarma ifadesini güvenliği ihlal edilmiş sayın ve yeni bir cüzdan oluşturup fonları taşıyın. Ayrıca, dolandırıcılara karşı dikkatli olun; gerçek bir denetleyici asla gizli anahtar veya kurtarma ifadesi istemez.

Uzmanların Görüşleri

Bu daha önce de görüldü. 'Ill Bloom', 2023'teki 'Milk Sad' (CVE-2023-39910) ve 'Randstorm' açıklarına benzer bir zayıf rastgelelik hatası. Aynı yıl Trust Wallet tarayıcı uzantısını etkileyen CVE-2023-31290 da bir günden kısa sürede kırılabiliyordu. Coinspect, Ill Bloom'un tam olarak hangi cüzdanları etkilediğini açıklamadı, ancak zayıf rastgelelikle oluşturulan tüm cüzdanların risk altında olduğunu vurguluyor.

Kaynak: thehackernews.com

Paylaş: