Dikkat! Kötü niyetli Ethereum Cüzdan uzantısı, Sui mikro işlemleri aracılığıyla tohum ifadesini çalıyor.

Blok Zinciri güvenlik platformu Socket, 13 Kasım 2025'te bir rapor yayımladı ve “Safery: Ethereum Cüzdanı” adlı kötü niyetli Chrome uzantısının benzersiz bir saldırı tekniğiyle kullanıcıların tohum ifadelerini çaldığını ortaya koydu. Bu uzantı, Chrome Web Store'da “Ethereum cüzdanı” aramasında dördüncü sırada yer alıyor ve BIP-39 anımsatıcı ifadesini Sui blok adresine kodlayarak 0.000001 SUI mikro işlem göndererek veri sızıntısını gerçekleştiriyor. Raporun yayımlandığı tarihe kadar, bu uzantı 29 Eylül'de yüklendikten sonra hala indirilebilir durumda, sıfır kullanıcı yorumu, dil bilgisi hataları ile marka bilgileri ve Gmail geliştirici hesapları gibi özellikler kullanıcıların yüksek derecede dikkatli olmaları gerektiğini göstermelidir.

Kötü Niyetli Yayılma Yolları ve Kamuflaj Stratejileri

“Safery: Ethereum Cüzdan” kötü niyetli uzantı, 29 Eylül 2025'te Chrome Web Store'a yüklendikten sonra, arama motoru optimizasyonu stratejileri sayesinde “Ethereum Cüzdanı” anahtar kelime arama sonuçlarında dördüncü sıraya kadar yükseldi; bu sıralamada yalnızca MetaMask, Wombat ve Enkrypt gibi yasal cüzdanların arkasında yer aldı. Saldırganlar, uzantının simgesini ve tanımını özenle tasarladı, orijinal cüzdanlarla benzer mavi tonlarını kullandı ve “güvenli ve sağlam” gibi tanıtım ifadeleriyle süsledi, ancak marka adındaki “Safery” yazım hatası (doğru yazım Safety olmalıdır) ilk tanıma işareti haline geldi.

Genişletilmiş sayfa bilgileri, geliştirici iletişim e-posta adresinin bir Gmail ücretsiz hesabı olduğunu, profesyonel bir işletme alan adı olmadığını gösteriyor; genişletme açıklamasında birçok dil bilgisi hatası mevcut; en önemlisi, bu genişletme 45 gün boyunca çevrimiçi kalmasına rağmen hiçbir kullanıcı değerlendirmesi almadı - bu özelliklerin kombinasyonu tipik bir kötü amaçlı yazılım kırmızı alarmını oluşturuyor. Google'ın resmi politikalarına göre, Chrome Web Store, genişletmeleri otomatik güvenlik taramasına tabi tutmalıdır, ancak açıkça bu yeni saldırı yöntemi tespit mekanizmalarını başarıyla atlatmıştır. 13 Kasım itibarıyla Google, bu genişletmeyi hala kaldırmamıştır, en son güncelleme kaydı, saldırganın 12 Kasım'da kod üzerinde hala optimizasyon yaptığını göstermektedir.

Veri Hırsızlığı Mekanizmasının Teknik Prensiplerinin Analizi

Geleneksel kötü amaçlı yazılımların veri iletimi için komut kontrol sunucuları kullanmasından farklı olarak, bu uzantı son derece gizli bir blok zinciri veri sızıntısı tekniği kullanmaktadır. Kullanıcı yeni bir cüzdan oluşturduğunda veya mevcut bir cüzdanı içe aktardığında, uzantı BIP-39 anahtar kelime ifadesinin tamamını yakalar ve ardından 12 veya 24 kelimelik anımsatıcı ifadeyi görünüşte normal bir SUI blok adresine kodlamak için özel bir algoritma kullanır. Kodlama tamamlandığında, uzantı saldırganın kontrolündeki cüzdandan bu sahte adreslere 0.000001 SUI (yaklaşık 0.000001 dolar) değerinde mikro işlem gönderir.

Socket güvenlik araştırmacısı Kirill Boychenko, bu teknolojinin esasen genel blok zincirini veri iletim katmanına dönüştürdüğünü açıkladı. Saldırganlar, yalnızca Sui zincirindeki işlemleri izleyerek alıcı adresinden orijinal tohum ifadesini tersine mühendislik ile çözebilirler. İşlem tutarının son derece küçük olması ve normal trafiğin içine karışması nedeniyle, sıradan kullanıcılar neredeyse bunu fark edemez. Daha tehlikeli olanı, bu tür bir saldırının geleneksel ağ izleme araçlarına dayanmadığıdır, çünkü veri sızıntısı yasal blok zinciri RPC çağrıları aracılığıyla gerçekleştirilir; güvenlik duvarları ve antivirüs yazılımları genellikle bu davranışları işaretlemez.

Kötü niyetli genişletme saldırısı özellikleri özeti

Genişletme Adı: Safery: Ethereum Cüzdanı

Yükleme tarihi: 29 Eylül 2025

Son güncelleme: 12 Kasım 2025

Chrome Store sıralaması: Dördüncü sırada (“Ethereum cüzdanı” araması)

Saldırı Yöntemi: Seed ifadesinin Sui adresine kodlanması

İşlem Tutarı: 0.000001 SUI

Hedef Çalma: BIP-39 anımsatıcı ifade

Tanıma Özellikleri: sıfır yorum, dilbilgisi hatası, Gmail geliştirici hesabı

Mevcut durum: Hala indirilebilir (13 Kasım'a kadar)

Kullanıcı Tanımlama ve Önleme Önlemleri Kılavuzu

Herhangi bir kullanıcı için, bu tür kötü niyetli uzantıları tanımak belirli ana ilkelere uymalıdır. Öncelikle, yalnızca resmi kanallardan ve çok sayıda gerçek değerlendirmeye sahip uzantıları yükleyin - MetaMask'ın 10 milyondan fazla kullanıcısı ve 4.8 yıldız derecelendirmesi vardır, oysa kötü niyetli uzantıların genellikle değerlendirme sayısı azdır. İkincisi, geliştirici bilgilerini dikkatlice kontrol edin, yasal projeler kurumsal e-posta ve profesyonel web siteleri kullanırken, ücretsiz e-posta kullanmazlar. Üçüncüsü, marka tutarlılığına dikkat edin, yazım hataları ve kötü tasarım genellikle tehlikeli sinyallerin işaretidir.

Operasyonel açıdan, güvenlik uzmanları çok katmanlı bir koruma stratejisi benimsemeyi önermektedir. Yeni bir uzantı yüklemeden önce, uzantı kimliğini VirusTotal gibi araçlarla tarayın; yüklü uzantıların izin değişikliklerini düzenli olarak kontrol edin; büyük miktardaki varlıkları donanım cüzdanında saklayın, özel anahtarları tarayıcı uzantısında saklamaktan kaçının. Şüpheli bir enfeksiyon durumunda, kullanıcıların varlıklarını hemen yeni oluşturulmuş güvenli bir cüzdana aktarması ve sistemi kapsamlı bir şekilde taraması gerekmektedir. Koi Security, kullanıcıların tüm blok zinciri işlemlerini özellikle anormal büyük miktardaki çıkışlar için izlemelerini önerir, bu durum saldırganların erişim izinlerini test ettiklerini gösterebilir.

Güvenlik Sektörünün Yanıt ve Tespit Teknolojilerinin Evrimi

Bu tür yeni saldırılarla karşı karşıya kalan güvenlik firmaları, hedefe yönelik tespit çözümleri geliştirmektedir. Geleneksel olarak alan adlarına, URL'lere veya uzantı kimliklerine dayanan tespit yöntemleri, saldırganların tamamen yasal blok zinciri altyapısını kullanmasından dolayı yetersiz kalmaktadır. Socket'in önerdiği yeni çözüm, tarayıcıda beklenmedik blok zinciri RPC çağrılarını izlemek, anımsatıcı ifade kodlama kalıplarını tanımlamak ve sentetik adres oluşturma davranışlarını tespit etmekten oluşmaktadır. Özellikle cüzdan oluşturma veya içe aktarma sürecinde başlatılan çıkış işlemleri, miktarı ne olursa olsun yüksek riskli davranış olarak değerlendirilmelidir.

Teknik açıdan, bu tür saldırılara karşı savunma, tarayıcı üreticileri, güvenlik şirketleri ve blok zinciri projelerinin ortak çabasını gerektirir. Chrome Web Store'un, blok zinciri API çağrılarının incelemesi de dahil olmak üzere, uzantı kodlarının statik ve dinamik analizini güçlendirmesi gerekir. Güvenlik yazılımları, yetkisiz anımsatıcı ifadelerin dışa aktarım davranışlarını kötü amaçlı olarak işaretleyecek şekilde özellik veritabanlarını güncellemeli. Blok zinciri projeleri, merkeziyetsiz anlayışla belirli bir çatışma olmasına rağmen, düğüm seviyesinde anormal işlem modellerini tespit etmeyi de düşünebilir.

Blok Zinciri Güvenlik Tehditlerinin Evrimi

2017'deki phishing sitelerinin özel anahtar çalmasından, 2021'deki trojan yazılımların panoya kopyalanan adresleri değiştirmesine, günümüzde mikro işlem verilerinin sızmasına kadar, blok zinciri güvenlik tehditleri sürekli olarak evrim geçiriyor. Bu, yasal blok zinciri ağı üzerinden veri sızdırma yöntemi yeni bir eğilimi temsil ediyor - saldırganlar, blok zincirinin değiştirilemezliği ve anonimliği gibi özellikleri saldırı aracı olarak kullanıyorlar. Geleneksel saldırılarla karşılaştırıldığında, bu yöntem C&C sunucusunu sürdürmeyi gerektirmiyor, saldırganın kimliğini izlemek zor ve veri iletim süreci tamamen “yasal”.

Geçmiş veriler, cüzdan güvenlik olaylarının her yıl 1 milyar dolardan fazla varlık kaybına neden olduğunu göstermektedir. Bu arada, tarayıcı uzantılarıyla ilgili olayların payı 2023'te %15'ten 2025'te %30'a yükselmiştir. Bu artış, saldırganların stratejisindeki bir değişimi yansıtmaktadır; donanım cüzdanlarının yaygınlaşmasıyla, soğuk cüzdanlara doğrudan saldırmanın zorluğu artmış ve bu nedenle koruması nispeten zayıf sıcak cüzdan uzantılarına yönelmişlerdir. Dikkate değer bir nokta, son zamanlarda birçok kötü niyetli uzantının MetaMask'ın UI tasarımını taklit etmesidir, ancak ince farklılıklar hala ayırt edilebilir.

Kişisel Dijital Varlık Güvenliği En İyi Uygulamaları

Dijital varlıkların güvenliğini sağlamak için kullanıcılar sistematik güvenlik alışkanlıkları geliştirmelidir. Öncelikle, katmanlı depolama stratejisi benimseyin: günlük küçük işlemler için mobil hafif cüzdan, orta miktar için tarayıcı uzantısı ile donanım imzası, büyük varlıklar için çoklu imza soğuk cüzdan kullanın. İkincisi, işlem izolasyonu uygulayın: cüzdan ile ilgili işlemler için özel cihazlar oluşturun, günlük web tarayıcılarıyla karıştırmayın. Üçüncüsü, düzenli güvenlik denetimleri yapın: yetkilendirme kayıtlarını, işlem geçmişini ve uzantı izinlerini kontrol edin.

Kurumsal kullanıcılar için, çalışanların kurduğu tarayıcı uzantılarını takip eden özel bir güvenlik izleme sistemi kurmaları önerilir ve blok zinciri işlem uyarı mekanizması ayarlamaları gerektiği belirtilir. Büyük transferler için birden fazla yetki talep edilmeli ve alım adresinin doğrulama sürecinden geçmesi gerekmektedir. Ayrıca, çalışanlara düzenli olarak sosyal mühendislik saldırıları konusunda eğitim verilmeli, oltalama e-postaları ve sahte web sitelerini tanıma yetenekleri artırılmalıdır. Teknik açıdan, akıllı sözleşme cüzdanı kullanmayı düşünmek, günlük limitler ve güvenilir kişiler mekanizması ile tek noktada arıza riskini azaltabilir.

Sektör İşbirliği ve Regülasyon Yanıt İhtiyacı

Bu tür güvenlik tehditlerini çözmek için tüm sektörün iş birliği yapması gerekmektedir. Tarayıcı üreticileri, blok zinciri API'lerine erişim sağlayan eklentiler için daha sıkı bir inceleme süreci oluşturmalıdır. Güvenlik şirketleri, tehdit istihbaratını paylaşmalı ve kötü niyetli eklentilere ait özellik veri tabanları kurmalıdır. Blok zinciri projeleri, kullanıcıların şüpheli adresleri kara listeye almasına izin veren bir işlem etiketleme işlevini protokol düzeyinde eklemeyi düşünebilir.

Regülasyon açısından, ülkeler kripto cüzdan uygulamaları ile ilgili regülasyon gerekliliklerini artırabilir, bu da zorunlu kod denetimleri, geliştirici kimlik doğrulaması ve sigorta korumasını içermektedir. Avrupa Birliği'nin MiCA düzenlemesi, cüzdan sağlayıcıları için temel gereklilikler getirmiştir, ancak uygulama detayları hala geliştirilmelidir. Uzun vadede, sektörün geleneksel finansal sistemlere benzer dolandırıcılık tespiti ve fon geri alma mekanizmaları kurması gerekecektir, bu durum kripto varlıkların merkeziyetsiz yapısıyla doğal bir gerilim içindedir.

Güvenlik Görünümü

Saldırganlar blok zincirini bir saldırı aracı olarak kullanmaya başladığında, mikro işlemler veri sızıntısı kanalları haline geldiğinde, karşılaştığımız sadece teknik zorluklar değil, aynı zamanda kavramsal yeniliklerdir. Bu yeni saldırı yönteminin korkunç yanı, karmaşıklığında değil, “blok zinciri işlemleri güvenlidir” algısını alt üst etmesindedir. Kripto dünyası ana akıma doğru ilerlerken, güvenlik her zaman en zayıf halka olmuştur - bugünkü “Safery” olayı, kodlara güvenirken sistematik bir doğrulama mekanizması kurmamız gerektiğini hatırlatıyor. Sonuçta, dijital varlık dünyasında güvenlik bir fonksiyon değil, temeldir.