On-chain güvenlik araştırmacısı ZachXBT, birden fazla EVM zincirinde yüzlerce cüzdanın, genellikle her bir kurban için 2.000 doların altında küçük miktarlarla boşaltıldığını ve bu paraların tek bir şüpheli adrese aktarıldığını bildirdi.

Çalınan toplam miktar 107.000 doları aştı ve artmaya devam ediyor. Temel sebep hala bilinmiyor, ancak kullanıcılar, zorunlu bir MetaMask güncellemesi olarak gizlenmiş bir kimlik avı e-postası aldıklarını bildirdi. E-posta, parti şapkası takan bir tilki logosu ve "Mutlu Yıllar!" başlığı ile süslenmişti.

Bu saldırı, geliştiricilerin tatilde olduğu, destek kanallarının az sayıda personelle çalıştığı ve kullanıcıların Yeni Yıl promosyonlarıyla dolu gelen kutularında kaydırma yaptığı bir dönemde gerçekleşti.

Saldırganlar bu fırsatı değerlendiriyor. Kurban başına küçük miktarlar, çoğu durumda drainer'in tam bir seed-phrase ihlali yerine sözleşme onayları üzerinden çalıştığını gösteriyor. Bu durum, bireysel kayıpların hemen alarm vermeyecek kadar düşük kalmasını sağlarken, saldırganın yüzlerce cüzdan üzerinden ölçeklenmesine olanak tanıyor.

Sektör, kötü niyetli kodun Chrome uzantısı v2.68'de bulunduğu ayrı bir Trust Wallet tarayıcı uzantısı olayını hala işliyor. Bu olay, 2,520 cüzdandan en az 8.5 milyon dolar çalınmasına neden oldu ve Trust Wallet v2.69'a güncellendi.

İki farklı ihlal, aynı ders: kullanıcı uç noktaları en zayıf halkadır.

Etkin Bir Kimlik Avı E-postasının Anatomisi

MetaMask temalı kimlik avı e-postası, bu saldırıların neden başarılı olduğunu gösteriyor.

Gönderen kimliği, MetaLiveChain olarak görünüyor; bu isim, MetaMask ile hiçbir bağlantısı olmayan, belirsiz bir DeFi yanına benziyor.

E-posta başlığı, saldırganın meşru pazarlama kampanyalarından şablonlar çaldığını gösteren reviews@yotpo.com için bir abonelikten çıkma bağlantısı içeriyor. İçerik, MetaMask'ın parti şapkası takan tilki logosunu barındırıyor ve zorunlu bir güncelleme hakkında yapay bir aciliyet hissi oluşturuyor.

Bu kombinasyon, çoğu kullanıcının açık dolandırıcılıklara uyguladığı sezgileri aşmayı başarıyor.

Kimlik avı e-postası, parti şapkası takan bir tilki logosu ile MetaMask'ı taklit ediyor ve hesap erişimi için zorunlu bir 2026 sistem güncellemesinin gerekli olduğunu yanlış bir şekilde iddia ediyor.

MetaMask'ın resmi güvenlik belgeleri, net kurallar belirliyor. Destek e-postaları yalnızca destek@metamask.io gibi doğrulanmış adreslerden gelir ve asla üçüncü taraf alan adlarından gelmez.

Cüzdan sağlayıcısı, doğrulama veya güncellemeleri talep eden istenmeyen e-postalar göndermez.

Ayrıca, hiçbir temsilci, bir Gizli Kurtarma İfadesi istemez. Ancak bu e-postalar, kullanıcıların resmi görünümlü bir mesaj geldiğinde neyi bildiği ile neyi refleksif olarak yaptıkları arasındaki boşluğu kullanarak çalışır.

Hasar meydana gelmeden önce kimlik avını açığa çıkaran dört sinyal vardır.

İlk olarak, marka-gönderen uyumsuzluğu; MetaMask markası, MetaLiveChain'den geldiği için şablon hırsızlığını işaret eder. İkincisi, MetaMask'ın kesinlikle göndermeyeceğini açıkça belirttiği zorunlu güncellemeler etrafındaki yapay aciliyet.

Üçüncüsü, iddia edilen alanlarla uyuşmayan varış URL'leri; tıklamadan önce üzerine gelmek, gerçek hedefi açığa çıkarır. Dördüncüsü, seed ifadeleri istemek veya belirsiz off-chain mesajlarda imza istemek gibi temel cüzdan kurallarını ihlal eden talepler.

ZachXBT vakası, imza kimlik avı mekaniklerini gösteriyor. Sahte güncelleme bağlantısına tıklayan kurbanlar, drainer'e tokenları hareket ettirme izni veren bir sözleşme onayı imzalamış olabilir.

O tek imza, birden fazla zincir boyunca devam eden hırsızlık kapısını açtı. Saldırgan, cüzdan başına küçük miktarlar seçti çünkü sözleşme onayları genellikle varsayılan olarak sınırsız harcama limitleri taşır, ancak her şeyi boşaltmak, hemen soruşturmaları tetiklerdi.

Yüzlerce kurban arasında 2.000 dolarlık hırsızlık yaymak, bireysel radarın altında kalırken altı haneli toplamlar biriktiriyor.

Onayları İptal Etmek ve Etki Alanını Küçültmek

Bir kimlik avı bağlantısına tıklanır veya kötü niyetli bir onay imzalanırsa, öncelik containment'a kayar. MetaMask, artık kullanıcıların MetaMask Portföyü içinde doğrudan token izinlerini görüntülemesine ve iptal etmesine olanak tanıyor.

Revoke.cash, kullanıcılara basit bir süreç sunuyor: cüzdanınızı bağlayın, ağ başına onayları kontrol edin ve güvenilmeyen sözleşmeler için iptal işlemleri gönderin.

Etherscan'ın Token Onayları sayfası, ERC-20, ERC-721 ve ERC-1155 onaylarının manuel iptali için aynı işlevselliği sunuyor. Bu araçlar önemlidir çünkü hızlı hareket eden kurbanlar, her şeyi kaybetmeden önce drainer'in erişimini kesebilir.

Onay ihlali ile seed-phrase ihlali arasındaki ayrım, bir cüzdanın kurtarılıp kurtarılamayacağını belirler. MetaMask'ın güvenlik kılavuzu, net bir çizgi çizer: Gizli Kurtarma İfadenizin ifşa edildiğinden şüpheleniyorsanız, o cüzdanı hemen kullanmayı bırakın.

Yeni bir cüzdan oluşturun, kalan varlıkları transfer edin ve orijinal seed'i kalıcı olarak yanmış olarak kabul edin. Onayları iptal etmek, saldırganın yalnızca sözleşme izinlerine sahip olduğu durumlarda yardımcı olur; eğer seed'iniz kaybolduysa, tüm cüzdan terk edilmelidir.

Chainalysis, 2025 yılında en az 80,000 kişiyi etkileyen yaklaşık 158,000 kişisel cüzdan ihlalini belgeledi, toplam çalınan değer yaklaşık 713 milyon dolar olarak düştü.

Kişisel cüzdan kayıpları, toplam kripto hırsızlığının yaklaşık %10'undan 2022'de %25'e kadar yükseldi, Chainalysis verilerine göre.

Saldırganlar, ZachXBT'nin tanımladığı gibi daha küçük miktarlar için daha fazla cüzdan hedef alıyor. Pratikte, cüzdanları organize etmek, etki alanını sınırlamak kadar önemlidir.

Tek bir ihlal edilmiş cüzdan, toplam portföy kaybı anlamına gelmemelidir.

Derin Savunma Oluşturmak

Cüzdan sağlayıcıları, bu saldırıyı engelleyebilecek özellikler geliştirdi.

MetaMask, artık kullanıcıları, varsayılan sınırsız izinleri kabul etmek yerine token onaylarında harcama limitleri belirlemeye teşvik ediyor. Revoke.cash ve De.Fi'nin Shield kontrol paneli, onay incelemelerini donanım cüzdanı kullanımı ile birlikte rutin hijyen olarak değerlendiriyor.

MetaMask, imza işlemleri gerçekleştirilmeden önce şüpheli sözleşmeleri işaretleyen Blockaid'den işlem güvenliği uyarılarını varsayılan olarak etkinleştiriyor.

Trust Wallet uzantısı olayı, derin savunma ihtiyacını pekiştiriyor. O ihlal, kullanıcı kararlarını aşarak, resmi bir Chrome listesindeki kötü niyetli kod otomatik olarak anahtarları topladı.

Kullanıcılar, varlıklarını donanım cüzdanları (soğuk depolama), yazılım cüzdanları (sıcak işlemler) ve yan cüzdanlar (deneysel protokoller) arasında ayırarak maruziyeti sınırladı.

Bu üç katmanlı model sürtünme yaratıyor, ancak sürtünme tam olarak bu noktadır. Bir yan cüzdanı ele geçiren bir kimlik avı e-postası yüzlerce veya birkaç bin dolara mal olur. Tüm portföyü tutan tek bir cüzdan üzerindeki aynı saldırı, hayat değiştiren paralar kaybettirir.

ZachXBT drainer, güvenlik ve kullanım kolaylığı arasındaki dikiş noktasını hedeflediği için başarılı oldu. Çoğu kullanıcı, birden fazla cüzdanı yönetmenin zahmetli olduğunu düşündüğü için her şeyi tek bir MetaMask örneğinde tutuyor.

Saldırgan, Yeni Yıl Günü'nde profesyonel görünümlü bir e-postanın yeterince insanı hazırlıksız yakalayarak kârlı bir hacim oluşturacağına bahse girdi. Bu bahis, 107.000 dolar ve daha fazlasıyla kazandı.

MetaMask'ın resmi kılavuzu, üç kimlik avı kırmızı bayrağını tanımlar: yanlış gönderen adresleri, istenmeyen acil güncelleme talepleri ve Gizli Kurtarma İfadeleri veya şifreler için talepler.

Tehlike Nedir?

Bu olay, daha derin bir soruyu gündeme getiriyor: kendine ait bir dünyada uç nokta güvenliğinden kim sorumlu?

Cüzdan sağlayıcıları, kimlik avına karşı araçlar geliştiriyor, araştırmacılar tehdit raporları yayımlıyor ve düzenleyiciler tüketicileri uyarıyor. Ancak saldırganın yalnızca sahte bir e-posta, kopyalanmış bir logo ve bir drainer sözleşmesi ile yüzlerce cüzdanı ihlal etmesi yeterliydi.

Kendine ait saklama, izinsiz işlemler, takma adlı adresler ve geri alınamaz transferleri mümkün kılan altyapı aynı zamanda affetmez hale getiriyor.

Sektör, bunu bir eğitim sorunu olarak görüyor: eğer kullanıcılar gönderen adresleri doğrulasa, bağlantılara tıklamadan önce üzerine gelse ve eski onayları iptal etse, saldırılar başarısız olur.

Ancak Chainalysis verileri, 158,000 ihlali gösteriyor ve eğitim tek başına ölçeklenmiyor. Saldırganlar, kullanıcıların öğrenmesinden daha hızlı uyum sağlıyor. MetaMask kimlik avı e-postası, kaba "Cüzdanınız kilitlendi!" şablonlarından, cilalı mevsimsel kampanyalara evrildi.

Trust Wallet uzantısı ihlali, dikkatli kullanıcıların bile fon kaybedebileceğini kanıtladı; eğer dağıtım kanalları ihlal edilirse.

Ne işe yarar: anlamlı varlıklar için donanım cüzdanları, acımasız onay iptalleri, risk profiline göre cüzdan ayrımı ve cüzdan sağlayıcılarından gelen istenmeyen mesajlara karşı şüphecilik.

Ne işe yaramaz: cüzdan arayüzlerinin varsayılan olarak güvenli olduğunu varsaymak, onayları tek seferlik kararlar olarak görmek veya tüm varlıkları kullanım kolaylığı için tek bir sıcak cüzdanda toplamak. ZachXBT drainer, adres işaretlendiği için kapatılacak ve borsalar yatırımları donduracak.

Ancak bir başka drainer, gelecek hafta biraz farklı bir şablon ve yeni bir sözleşme adresi ile başlayacak.

Döngü, kullanıcılar kriptonun sağladığı kullanım kolaylığının, nihayetinde istismar edilen bir saldırı yüzeyi oluşturduğunu içselleştirmedikçe devam ediyor. Seçim, güvenlik ile kullanılabilirlik arasında değil, şu anda sürtünme ile sonrasında kayıp arasında.