Trust Wallet, 24 Aralık’ta yayınlanan, güvenliği ihlal edilmiş bir Chrome uzantısı güncellemesinin, kullanıcıların cüzdanlarının boşaltıldığını bildirmesinin ardından 7 milyon dolarlık kripto para biriminin çalınmasına yol açtığını doğruladı.
Binance kurucusu Changpeng “CZ” Zhao, X’te şunları yazdı: “Şu ana kadar bu saldırıdan 7 milyon dolar etkilendi. TrustWallet bunu karşılayacak. Kullanıcı fonları SAFU’dur. Ortaya çıkabilecek aksaklıklar için anlayışınız için teşekkür ederiz.”
“Ekip hala bilgisayar korsanlarının yeni bir sürümü nasıl sunabildiklerini araştırıyor.”
Aynı zamanda BleepingComputer, tehdit aktörlerinin sahte bir “güvenlik açığı” düzeltmesi vaat eden, ancak bunun yerine kurban cüzdanlarını daha da tüketen kimlik avı alanları başlattığını gözlemledi.
Noel Arifesi güncellemesinden sonra cüzdanlar boşaltıldı
24 Aralık’ta çok sayıda kripto para kullanıcısı, Trust Wallet Chrome tarayıcı uzantısıyla etkileşime girdikten kısa bir süre sonra sosyal medyada fonların cüzdanlarından çekildiğini bildirmeye başladı. Tedarik zinciri saldırısında en az 7 milyon dolarlık kripto paranın çalındığı doğrulandı.
Trust Wallet, kullanıcıların birden fazla blok zincirinde dijital varlıkları depolamasına, yönetmesine ve bunlarla etkileşimde bulunmasına olanak tanıyan, yaygın olarak kullanılan, saklamaya tabi olmayan bir kripto para birimi cüzdanıdır. Cüzdan, bir mobil uygulama olarak ve merkezi olmayan uygulamalarla (dApp’ler) etkileşimde bulunmak için kullanılan bir Chrome tarayıcı uzantısı olarak mevcuttur.
“Giderek daha fazla insan, basit bir yetkilendirmenin ardından tarayıcı uzantılarındaki paranın kaybolduğundan şikayet ediyor… Hasar miktarı şimdiden 2 milyon doları aştı mı?” daha önce bir kullanıcı, uzantı güncellemesinin kurbanı olduğunu iddia edenlerin gönderilerini paylaşırken paylaşımda bulundu.
Güvenlik analisti Akinator, herkesi bu arada Trust Wallet Chrome uzantısını kullanmaktan kaçınmaları konusunda uyardı:
BleepingComputer, Trust Wallet’ın Chrome uzantısının 2.68.0 sürümünü 24 Aralık’ta, cüzdan boşaltma olaylarının raporları ortaya çıkmaya başlamadan kısa bir süre önce yayınladığını doğruladı.
Şikayetler ve uyarılar çevrimiçi olarak artarken BleepingComputer, olası bir güvenlik olayının açıklığa kavuşturulması ve onaylanması için Trust Wallet’a ulaştı. Anında yanıt alamasak da, Trust Wallet Chrome uzantısının 2.69 sürümünün kısa bir süre sonra Chrome Web Mağazası’nda sessizce yayınlandığını gözlemledik.
Güvenliği ihlal edilmiş sürümde şüpheli alan adı tespit edildi
Olayı takip eden birkaç saat içinde güvenlik araştırmacıları, Trust Wallet Chrome uzantısının 2.68.0 sürümünde şüpheli kod bulunduğunu tespit etti.
Akinator’a göre şüpheli mantık, hassas cüzdan verilerini şu adreste barındırılan harici bir sunucuya sızdırıyor gibi görünen, sıkı bir şekilde paketlenmiş kod içeren 4482.js adlı paket halindeki bir JavaScript dosyasında görünüyor: api.metrics-trustwallet[.]com.
Analist, “O halde olanlar şu şekilde… Yakın zamanda yapılan bir güncelleme, Trust Wallet tarayıcı uzantısının kodu olan 4482.js’ye, cüzdan verilerini sessizce dışarıya gönderen gizli kod ekledi” diye açıklıyor.
“Analitik gibi görünüyor, ancak cüzdan etkinliğini izliyor ve bir tohum cümlesi içe aktarıldığında tetikleniyor. Veriler şuraya gönderildi: metrikler-trustwallet[.]iletişim, günler önce kaydedilmiş bir alan adı ve şu anda kullanım dışı.”
Bir tarayıcı cüzdan uzantısı içinde yeni kaydedilmiş bir harici “ölçüm” uç noktasının varlığı, uzantının cüzdan işlemlerine ve hassas verilere ayrıcalıklı erişimi göz önüne alındığında oldukça sıra dışı bir durumdur.
Daha önce iddiaya şüpheyle yaklaşan güvenlik araştırmacısı Andrew Mohawk, sonunda uç noktanın sırların sızmasıyla ilişkili olduğunu doğruladı.
Herkese açık WHOIS kayıtları, ana alan metriklerinin-güven cüzdanının[.]com olaydan yalnızca birkaç gün önce kaydedilmişti. Bu yazının yazıldığı sırada, bu alan adının yasal olarak Trust Wallet’a ait olduğuna veya onun tarafından işletildiğine dair kamuya açık bir onay bulunmamaktadır.
Trust Wallet güvenlik olayını doğruladı
Dün akşam Trust Wallet, bir “güvenlik olayının” Chrome uzantısının 2.68.0 sürümünü etkilediğini doğruladı ve kullanıcılara sorunu çözmek için derhal 2.69 sürümüne güncelleme yapmalarını tavsiye etti.
Ancak Trust Wallet, BleepingComputer’ın kaç kişinin etkilendiği ve çalınan kripto paranın toplam miktarı da dahil olmak üzere olayla ilgili sorularına henüz yanıt vermedi.
Yalnızca Trust Wallet Tarayıcı Uzantısı sürüm 2.68’i etkileyen bir güvenlik olayı belirledik. Tarayıcı Uzantısı 2.68’e sahip kullanıcılar devre dışı bırakmalı ve 2.69’a yükseltmelidir.
Lütfen buradaki resmi Chrome Web Mağazası bağlantısına bakın: https://t.co/V3vMq31TKb
— Trust Cüzdan (@TrustWallet) 25 Aralık 2025
Saldırganlar eşzamanlı kimlik avı kampanyasıyla ikiye katlanıyor
Kullanıcılar bilgi ve rehberlik için çabalarken BleepingComputer, devam eden panikten yararlanan paralel bir kimlik avı kampanyası gözlemledi.
Birden fazla X hesabı [1, 2] ilgili kullanıcıları şüpheli bir alana yönlendirdi: düzeltme-trustwallet[.]iletişim.
Site, Trust Wallet markasını yakından taklit etti ve Trust Wallet’taki bir “güvenlik açığını” giderdiğini iddia etti. Ancak “Güncelle” düğmesini tıkladıktan sonra kullanıcılara, cüzdan üzerinde tam kontrol sağlayan bir ana anahtar işlevi gören, cüzdan kurtarma tohum ifadesini isteyen bir açılır pencere formu sunuldu.
Böyle bir siteye bir tohum cümlesi girmek, saldırganların ilgili tüm fonları anında boşaltmasına olanak tanır.
WHOIS verileri şunu gösteriyor düzeltme-trustwallet[.]iletişim bu ayın başlarında aynı kayıt memuruna kayıtlıydı metrikler-trustwallet[.]iletişimBu durum, alanların bağlantılı olabileceğini ve daha geniş kapsamlı saldırının arkasındaki aynı tehdit aktörü veya grup tarafından potansiyel olarak işletilebileceğini öne sürüyor.
Kullanıcıların yapması gerekenler
Trust Wallet, Chrome uzantısı kullanıcılarına en son, sabit 2.69 sürümünü çalıştırdıklarından emin olmalarını tavsiye ediyor ve olayın yalnızca Chrome uzantısı 2.68.0 sürümünü etkilediğini belirtiyor. Yalnızca mobil kullanıcılar ve diğer tüm tarayıcı uzantısı sürümlerinin etkilenmediğini söylüyor.
Trust Wallet aynı X başlığında şöyle devam ediyor: “Uzantı sürüm 2.69’a güncellememiş olan kullanıcılar, lütfen güncelleme yapana kadar Tarayıcı Uzantısını açmayın. Bu, cüzdanınızın güvenliğini sağlamaya ve başka sorunları önlemeye yardımcı olabilir.”
“Mümkün olan en kısa sürede adım adım kılavuzu izleyin:
Adım 1: Cüzdanınızın güvenliğini sağlamak ve başka sorunları önlemek için masaüstü cihazınızda Trust Wallet Tarayıcı Uzantısını AÇMAYIN.
2. Adım: Aşağıdaki adresi adres satırına kopyalayarak Chrome tarayıcınızdaki Chrome Uzantıları paneline gidin (Resmi Trust Cüzdan Tarayıcı Uzantısının kısayolu): chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
Adım 3: Trust Wallet’ın altındaki düğmeyi hâlâ “Açık” durumdaysa “Kapalı” konuma getirin.
Adım 4: Sağ üst köşedeki “Geliştirici modu”na tıklayın.
Adım 5: Sol üst köşedeki “Güncelle” düğmesine basın.
Adım 6. Sürüm numarasını kontrol edin: 2.69. Bu en son ve güvenli sürümdür.
Trust Wallet, “Müşteri Destek ekibimiz, sonraki adımlarla ilgili olarak etkilenen kullanıcılarla zaten iletişim halindedir” diyor ve soruları olan diğer kişileri şu adresten iletişime geçmeye çağırıyor: https://twtholders.trustwallet.com
Cüzdanlarının ele geçirilmiş olabileceğine inanan kullanıcılardan, kalan paralarını derhal yeni bir başlangıç cümlesiyle oluşturulan yeni bir cüzdana taşımaları ve daha önce açığa çıkan kurtarma cümlelerini kalıcı olarak güvensiz olarak değerlendirmeleri isteniyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.