Araştırmacılar, saldırganların herhangi bir kimlik avı, sosyal mühendislik veya cüzdan bağlantı onayı olmadan sessizce kullanıcı fonlarını boşaltmasına izin verebilecek popüler tarayıcı tabanlı kripto para cüzdanlarında bir dizi endişe verici güvenlik açıkını açıkladılar.
Coinspect tarafından yapılan bir rapora göre, Stellar Freighter, Frontier ve Coin98 gibi sektör lideri cüzdanların, kullanıcıların sadece kötü niyetli bir web sitesini ziyaret ederek uzlaşmayı tamamlamaları için maruz kalan kusurlara sahip olduğu bulundu.
Bu güvenlik açıkları, saldırganların kullanıcıların gizli kurtarma cümlelerini çıkarmalarına veya doğrudan yetkisiz transferleri yürütmelerine izin vererek, hızla büyüyen merkezi olmayan finans (DEFI) ekosisteminde milyonlarca dolar riske atıyor.
.png
)
CVE spot ışığı
Yıldız yük gemisi (CVE-2023-40580)
İçinde Yıldız yük gemisi Cüzdan (CVE-2023-40580), araştırmacılar, cüzdanın dahili mesaj işlenmesindeki bir tasarım kusurunun, bir web sayfasından hazırlanmış mesajların tipik olarak kullanıcı arayüzü için ayrılmış bir gizli yedek görüntüleme işlevini tetiklemesine izin verdiğini keşfettiler.
Bundan yararlanarak, bir saldırgan cüzdanı kullanıcının 12 kelimelik kurtarma ifadesini doğrudan kendi sitelerine açıklamak için kandırabilir-kullanıcı onayı yok, etkileşim yok, hatta bir “bağlantı cüzdanı” eylemi bile gerekli değildir.
- Keşif/Açıklama: HackerOne aracılığıyla bildirildi, 20.000 dolarlık ödül verildi.
- Düzeltmek: 5.3.1 sürümünde yamalı.
Frontier cüzdan
. Sınır Tarayıcı Uzantısı, herhangi bir web sitesine maruz kalan sağlayıcı API üzerinden şifrelenmiş gizli kurtarma ifadesini sızdırdı.
Cüzdan kilitli olsa bile, saldırganlar çevrimdışı kaba kuvvet saldırıları veya hedefli kimlik avı için şifrelenmiş tohumu ve cüzdan adresini söndürebilirler.
- Açıklama: 13 Kasım 2024; 22 Kasım 2024’te yamalı.
Coin98 Cüzdan
. Coin98 Güvenlik açığı, web sitelerinin ayrıcalıklı komutları taklit eden mesajlar (örn. ISDEV: true) göndererek cüzdan eylemlerini tetiklemesine izin verdi ve cüzdanın arka plan komut dosyasını yetkisiz işlemleri imzalamaya ve yayınlamaya ikna etti.
Saldırganlar böylece kullanıcı girişi olmadan kendi adreslerine doğrudan fon transferi başlatabilirler.
- Açıklama: 12 Temmuz 2023’te Hackenproof aracılığıyla bildirildi; 1.000 $ ödül verildi.
Bu güvenlik açıklarını özellikle tehlikeli kılan şey, uyarı veya gerekli eylem eksikliğidir.
Mağdurların cüzdanları birbirine bağlamaları, işlemleri onaylamaları ve hatta risk altında olduklarını kabul etmeleri gerekmiyordu: sadece kötü niyetli bir web sitesini ziyaret etmek, saldırganların sessizce tam kontrol sahibi olması için yeterliydi.
Riski daha da birleştiren saldırganlar, hesaplar boşaltmadan önce iyi finanse edilene kadar bekleyebilir, hırsızlığı geciktirir ve sinir bozucu adli soruşturmayı bekleyebilirler.
Yamalar yayınlanırken, bu bulgular yeni cüzdanlar ekosisteme girerken, bazen olgun, açık kaynak kod tabanlarından veya kapsamlı denetimlerden yoksundur. Uzmanlar kullanıcılara şunları sağlamayı şiddetle tavsiye eder:
- Tarayıcı cüzdanlarının en son sürümlerde güncellendiğinden emin olun
- Cüzdan uzantılarını yalnızca aktif olarak işlem yaparken kullanın
- Her zaman uzatma kaynaklarını doğrulayın ve güvenlik bildirimleri için duyuruları izleyin
Güvenlik açıkları keskin bir hatırlatma görevi görür: Web3’te, en güvenilir cüzdan bile genellikle hiçbir kullanıcının beklemeyeceği şekilde bir tehdit vektörü olabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!