Siber Muhbir

Çok zincirli, koruma dışı kripto para cüzdanı hizmeti, sorunun 2.68 sürümünü etkilediğini söyledi. Chrome Web Store listesine göre uzantının yaklaşık bir milyon kullanıcısı var. Kullanıcıların mümkün olan en kısa sürede 2.69 sürümüne güncelleme yapmaları tavsiye edilir.

"Yaklaşık 7 milyon doların etkilendiğini doğruladık ve etkilenen tüm kullanıcıların iadesini sağlayacağız," dedi Trust Wallet, X'teki bir gönderide. "Etkilenen kullanıcıları desteklemek en öncelikli önceliğimiz ve etkilenen kullanıcıların iadesi sürecini aktif olarak tamamlamaya çalışıyoruz."

Trust Wallet ayrıca kullanıcıları resmi kanallarından gelmeyen mesajlarla etkileşimden kaçınmaya çağırıyor. Sadece mobil kullanıcılar ve diğer tüm tarayıcı eklentileri etkilenmez.

SlowMist tarafından paylaşılan detaylara göre, 2.68 sürümü, uzantıda depolanan tüm cüzdanları yineleme yapmak ve her cüzdan için bir hafıza cümlesi talebi tetiklemek için tasarlanmış kötü amaçlı kod tanıttı.

"Şifrelenmiş hattına, cüzdan kilidi açarken girilen şifre veya şifre anahtarı kullanılarak çözülüyor," dedi blokzincir güvenlik firması. "Şifre çözüldükten sonra, hafızacı ifadesi saldırganın sunucusuna gönderilir api.metrics-trustwallet[.]com."

"metrics-trustwallet[.] alan adıcom" 8 Aralık 2025'te "api.metrics-trustwallet[.] adresine ilk talep ile kaydedildi.com" adlı programı 21 Aralık 2025'te başlayacak.

Daha fazla analiz sonucunda, saldırganın cüzdan kullanıcı bilgilerini toplamak için posthog-js adlı açık kaynaklı tam zincir analitik kütüphanesinden yararlandığını ortaya koydu.

Şimdiye kadar tüketilen dijital varlıklar arasında yaklaşık 3 milyon dolar Bitcoin, 431 dolar Solana ve 3 milyon dolardan fazla Ethereum bulunmaktadır. Çalınan fonlar merkezi borsalar ve zincirler geçişi yoluyla aklama ve takas için kullanılmıştır. Blokzincir araştırmacısı ZachXBT tarafından paylaşılan bir güncellemeye göre, olay yüzlerce kurbanı kaybetti.

"Çalınan fonların ~2,8 milyon doları hacker'ın cüzdanlarında (Bitcoin/EVM/Solana) kalırken, büyük kısmı – >4 milyon dolarlık kripto – CEX'lere [merkezi borsalara] gönderildi: ~3,3 milyon dolar ChangeNOW'a, ~340.000 dolar FixedFloat'a ve ~447.000 dolar KuCoin'e," dedi PeckShield.

"Bu arka kapı olayı, zararlı bir üçüncü taraf bağımlılığından (örneğin, kötü nitli npm paketi) değil, dahili Trust Wallet uzantı kod tabanında (analitik mantığı) kötü niyetli kaynak kod değişikliğinden kaynaklandı," dedi SlowMist.

"Saldırgan, uygulamanın kendi koduna doğrudan müdahale etti, ardından yasal PostHog analitik kütüphanesini veri sızdırma kanalı olarak kullandı ve analitik trafiği saldırganın kontrolündeki bir sunucuya yönlendirdi."

Şirket, bunun bir ulus-devlet aktörünün işi olma ihtimalinin olduğunu belirterek, saldırganların 8 Aralık 2025'ten önce Trust Wallet ile ilgili geliştirici cihazlarının kontrolünü ele geçirmiş veya dağıtım izinleri almış olabileceğini ekledi.

Binance'in kurucu ortağı Changpeng Zhao, bu haberin "büyük ihtimalle" içeriden biri tarafından gerçekleştirildiğini ima etti, ancak teoriyi destekleyecek başka bir kanıt sunulmadı.

Son Bilgi;

Trust Wallet, takip güncellemesinde, etkilenen kullanıcıları destek masalarında "trustwallet-support.freshdesk[.] adresinden bir form doldurmaya çağırdı.com" ile tazminat sürecini başlatmak için "com" diye başlattı. Mağdurlardan iletişim e-posta adreslerini, ikamet ettikleri ülkeni, tehlikeye uğramış cüzdan adreslerini, fonların hangi adrese çekildiğini ve ilgili işlem hash'lerini vermeleri istendi.

"Telegram reklamları, sahte 'tazminat' formları, taklit destek hesapları ve DM'ler aracılığıyla dolandırıcılıklar görüyoruz," diye uyardı şirket. "Bağlantıları her zaman doğrulayın, kurtarma ifadenizi asla paylaşmayın ve sadece resmi Trust Wallet kanallarını kullanın."

Trust Wallet'ın CEO'su Eowyn Chen, olayla ilgili bir soruşturmanın devam ettiğini belirterek, sorunun yalnızca 26 Aralık 2025 saat 11:00 UTC'den önce giriş yapan Chrome tarayıcı eklentisi 2.68 kullanıcılarını etkilediğini yineledi.

"Kötü niyetli uzantı v2.68, dahili manuel sürecimizle yayımlanmadı," dedi Chen. "Mevcut bulgularımız, muhtemelen Chrome Web Store API anahtarı üzerinden harici olarak yayınlandığını ve standart sürüm kontrollerimizi atladığını gösteriyor."

"Hacker, sızdırılan Chrome Web Store API anahtarını kullanarak zararlı uzantı v2.68 sürümü gönderdi. Bu makale Chrome Web Store'un incelemesini başarıyla geçti ve 24 Aralık 2025'te saat 12:32 UTC'de yayınlandı."

İhlalın keşfedilmesinin ardından Chen, şirketin zararlı alan adının askıya alındığını, tüm sürüm API'lerinin süresinin dolmasını ve etkilenen mağdurlar için geri ödeme işlemlerini gerçekleştirdiğini söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.