Safery: Ethereum Wallet adlı aldatıcı bir Chrome uzantısı, kripto para birimi kullanıcıları için ciddi bir tehdit olarak ortaya çıktı.
12 Kasım 2024’te Chrome Web Mağazası’nda yayınlanan bu uzantı, güvenli bir Ethereum cüzdanı görünümüne bürünürken, kullanıcıların temel ifadelerini gizlice çalıyor.
Kötü amaçlı yazılımın gelişmiş tasarımı, saldırganların kurbanların kripto para cüzdanları üzerinde tam kontrol sahibi olmasına ve dijital varlıklarını tüketmesine olanak tanıyor.
Uzantı hırsızlığa karşı kurnaz bir yaklaşımla çalışıyor. Kullanıcılar bir cüzdan oluşturduğunda veya içe aktardığında, uzantı onların çekirdek ifadesini çıkarır ve bunu sentetik Sui blockchain adreslerine kodlar.
Daha sonra tehdit aktörlerinin kontrolündeki bir cüzdandan bu kodlanmış adreslere 0,000001 SUI tutarında küçük mikro işlemler yayınlıyor. Gözlemcilere göre bunlar normal blockchain etkinliği gibi görünüyor ancak aslında gizli kullanıcı verileri içeriyorlar.
Socket.dev güvenlik analistleri kötü amaçlı uzantıyı tespit etti ve kaçma taktiklerini keşfetti.
Araştırmacılar, arka kapının BIP-39 anımsatıcı kodlamayı kullandığını, her bir tohum kelime öbeği kelimesini sayısal endekslere dönüştürdüğünü ve bunları meşru Sui cüzdan adreslerine benzeyen onaltılık dizeler halinde paketlediğini belirtti.
.webp)
Bu akıllı yaklaşım, geleneksel komuta ve kontrol sunucularına olan ihtiyacı ortadan kaldırarak, blockchain işlemlerindeki verileri gizler.
Teknik Mekanizma
Teknik mekanizma, uzantının karmaşıklığını ortaya koyuyor. Uzantı kodunu incelerken analistler, standart bir kelime listesi yüklediğini, her kelimeyi kendi indeksiyle eşleştirdiğini ve “0x” ön ekiyle sentetik adresler oluşturduğunu buldu.
Kötü amaçlı yazılıma yerleştirilmiş eşleştirilmiş bir kod çözücü, tehdit aktörünün bu süreci tersine çevirmesine ve orijinal tohum cümlesini kelime kelime yeniden oluşturmasına olanak tanır.
Kod, bir kullanıcı tohum ifadesini girdikten sonra bu işlemleri sessizce yürütür ve oturum açma işlemini tamamlamadan önce blok zincirine sızma verileri gönderir.
Uzantı Chrome Web Mağazası’nda yasal göründüğü için tehdit özellikle tehlikeli görünüyor. Ethereum cüzdanlarını arayan kullanıcılar, bunun MetaMask ve Enkrypt gibi güvenilir alternatiflerin yanında dördüncü sonuç olarak listelendiğini ve ona sahte bir güvenilirlik kazandırdığını görüyor.
Kurban uzantıyı yükleyip cüzdanını içe aktardığında, saldırgan türetilmiş tüm Ethereum özel anahtarlarına erişim kazanır ve tüm varlıkları kendi adreslerine aktarabilir, bu da tam bir mali uzlaşmaya yol açar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
