Güvenlik şirketi Coinspect, “Ill Bloom” adını verdiği bir kripto cüzdan açığını bildirdi ve bu açık, saldırganlar tarafından kullanılmaya başlandı. Açık, bazı cüzdan yazılımlarının, parayı kontrol eden kurtarma ifadelerini zayıf rastgelelik kullanarak oluşturmasından kaynaklanıyor.
Saldırı Nasıl Çalışıyor?
Her bir kendine ait cüzdan, genellikle 12 veya 24 sözcükten oluşan ve “seed phrase” olarak da bilinen bir kurtarma ifadesi ile başlar. Bu sözcüklerin, tahmin edilmesinin imkansız olduğu kadar büyük bir havuzdan rastgele seçilmesi gerekmektedir. Ancak etkilenen cüzdanlar, bu ifadeyi oluştururken zayıf bir rastgele sayı üreteci kullanmıştır. Bu durum, olası ifadeler havuzunu astronomik bir büyüklükten, bir saldırganın arayabileceği bir aralığa düşürmektedir. Coinspect, zayıf üreticinin oluşturabileceği ifadelerin tam sayısını henüz açıklamamıştır.
Etkilenen Sistemler
Coinspect, 27 Mayıs’ta gerçekleştirilen bir koordine saldırıda yaklaşık 3.1 milyon doları 431 cüzdandan çektiğini doğrulamıştır. Bu tarihten itibaren yaklaşık 2 milyon dolarlık daha bir miktar, açık cüzdanlardan hareket etmiştir. Çoğu kullanıcı, bu durumu fark etmemiş olabilir. Coinspect, donanım cihazları üzerinde oluşturulan cüzdanların etkilenmediğini ve çoğu yaygın yazılım cüzdanının da etkilenmediğini belirtmektedir. Risk, 2018 yılına kadar giden eski veya daha az bilinen mobil cüzdanlarda bulunmaktadır.
Çözüm ve Korunma
Kullanıcılar, illbloom.org adresinde bulunan ücretsiz kontrol aracını kullanarak, kamu cüzdan adreslerini Coinspect’in bilinen açık cüzdan listesi ile karşılaştırabilir. Eğer bir eşleşme varsa, kurtarma ifadesinin tehlikeye girdiği anlaşılacaktır ve kullanıcıların fonlarını yeni bir cüzdana taşımaları gerekmektedir.
Eğer adresiniz eşleşiyorsa:
- Kurtarma ifadesini tehlikeye girmiş olarak değerlendirin. Para hala hareket etmemiş olsa bile, güvende değildir.
- Yeni bir cüzdan oluşturun ve yeni bir ifade üretin. Eski ifadenizi kullanmayı deneyen bir uygulama, zayıf cüzdanınızı yeniden açar.
- Fonlarınızı yeni cüzdana taşıyın. Eski uygulamayı yeniden yüklemek veya ifadeyi başka bir yere aktarmak sorunu çözmez.
Bir önemli uyarı daha: Bu tür dolandırıcılıklar, “paranızı kurtaracağız” diyen dolandırıcıları kendine çeker. Gerçek bir kontrol aracı asla herhangi bir gizli bilgi talep etmez. Coinspect, kullanıcılardan “kurtarma” veya cüzdanı korumak için fon göndermelerini istemeyecektir.
Geçmişte Bununla Karşılaştık
Bu, yeni bir isimle yaşanan eski bir sorundur. Coinspect, “Ill Bloom” adını “hasta çiçek açmak” ifadesinden türetmiştir. Bu hata, daha önce Milk Sad adıyla bilinen bir hata (CVE-2023-39910) gibidir. Bu hata, Libbitcoin Explorer komut satırı aracında bulunan bir zayıflıktır ve Temmuz ayında dolandırıcılara milyonları çalma imkanı tanımıştır.
Sonuç
Durumun ciddiye alınması gerekmektedir. Kullanıcılar, sürüm güncellemelerini takip etmeli ve etkilenen uygulamaları kontrol etmelidir. Fonlarınızı korumak için yukarıda belirtilen adımları izleyin ve yeni cüzdanlar oluşturun. Donanım cüzdanları, en güvenli yol olmakla birlikte, her zaman yeni bir ifade oluşturulmalıdır.


