Güvenlik: Ethereum Cüzdan Chrome Uzantısı
Siber güvenlik araştırmacıları, meşru bir Ethereum cüzdanı gibi görünen tehlikeli bir Chrome uzantısı tespit etti. Safery: Ethereum Wallet adlı uzantı, "Ethereum kripto para birimini esnek ayarlarla yönetmek için güvenli bir cüzdan" sunduğunu iddia ediyor. İlk olarak 29 Eylül 2025'te Chrome Web Mağazası'na yüklenen uzantı, en son 12 Kasım'da güncellendi. Basit ve güvenli bir Ethereum (ETH) cüzdanı gibi görünmesine rağmen, kullanıcıların şifrelerini çalmak için tasarlanmış karmaşık kötü amaçlı yazılımlar barındırıyor.
İçindekiler
Kötü Amaçlı Yazılım Nasıl Çalışır?
Kötü amaçlı eklenti, cüzdandaki anımsatıcı ifadeleri sahte Sui adreslerine kodlayarak sızdıran bir arka kapı içeriyor. Ardından, tehdit aktörü tarafından kontrol edilen bir Sui cüzdanından mikro işlemler yayınlayarak, saldırganın geleneksel bir Komuta ve Kontrol (C2) sunucusu olmadan hassas bilgileri çıkarmasına olanak tanıyor.
İş akışı şu şekildedir:
- Uzantı, kullanıcının başlangıç ifadesini bir Sui adresi olarak kodlar.
- Saldırganın cüzdanından bu sahte adreslere çok küçük mikro işlemler (0.000001 SUI) gönderiliyor.
- Saldırgan, blok zincirini izler ve orijinal tohum ifadelerini yeniden oluşturmak için alıcı adreslerini çözer.
- Yeniden yapılandırıldığında saldırgan, kurbanın cüzdanındaki varlıkları boşaltabilir.
Bu yöntem, saldırganın geleneksel tespit mekanizmalarını atlatarak, görünüşte normal blok zinciri işlemleri aracılığıyla hassas verileri gizlice sızdırmasına olanak tanır.
Tehdit Algılama Zorlukları
Bu saldırı tekniği, tehdit aktörlerinin zincirleri ve RPC uç noktalarını kolayca değiştirmesine olanak tanıdığı için özellikle gizlidir. Sonuç olarak, yalnızca alan adlarına, URL'lere veya belirli uzantı kimliklerine dayanan savunmalar başarısız olabilir. Özellikle ürün tek bir zincir üzerinde çalıştığını iddia ettiğinde, tarayıcıdan gelen beklenmedik blok zinciri RPC çağrıları, yüksek riskli sinyaller olarak değerlendirilmelidir.
Önerilen Azaltma Stratejileri
Siber güvenlik uzmanları bu tehdide karşı korunmak için şu önlemleri öneriyor:
Kullanıcılar için : Yalnızca güvenilir ve doğrulanmış kaynaklardan cüzdan uzantılarını yükleyin. Yeni yayınlanmış veya sınırlı incelemelere sahip uzantılardan kaçının.
Savunmacılar için : Tarayıcı uzantılarını, anımsatıcı kodlayıcılar, sentetik adres üreteçleri ve sabit kodlanmış başlangıç ifadeleri gibi kötü amaçlı davranışlara karşı tarayın. Cüzdan oluşturma veya içe aktarma sırasında işlemleri zincire yazmaya çalışan tüm uzantıları engelleyin.
Bu önlemlerin uygulanmasıyla hem son kullanıcılar hem de güvenlik ekipleri, tohum ifadesi hırsızlığı ve yetkisiz fon çekme riskini önemli ölçüde azaltabilir.
