Trust Wallet'ın Chrome uzantısı, Aralık ayında kötü niyetli bir güncelleme yayınlayarak cüzdan verilerini ele geçirdi ve yüzlerce hesaptan yaklaşık 7 milyon dolar çaldı. Şirket, bir düzeltme yayınlamadan önce bu sürüm günlerce aktif kaldı ve arka planda otomatik güncelleme yaparak çalıştı. Herhangi bir standart kendi kendine saklama kuralını takip eden kullanıcılar, örneğin seed kelimelerini asla paylaşmamak, URL'leri kontrol etmek ve güvenilir cüzdanlar kullanmak gibi, yine de fon kaybetti.

Saldırı, tarayıcı katmanını hedef aldı, blok zincirini değil ve bu, endüstrinin yıllardır göz ardı etmeye çalıştığı sürekli bir takas durumunu ortaya çıkardı: tarayıcı uzantısı cüzdanları, bilgisayarın en düşmanca ortamlarından birinde sürekli açık sıcak cüzdanlardır.

Bu, izole bir durum değildi. MetaMask'ın güvenlik ekibi, resmi Chrome Web Mağazası'nda Eylül sonundan Kasım ortasına kadar kalan sahte Google Chrome uzantısı olan Safery: Ethereum Cüzdanı'nı belgeledi ve bu uzantı seed kelimelerini çaldı.

Chainalysis, kripto hırsızlığının 2025 yılında 3.4 milyar dolara ulaştığını tahmin ediyor ve kişisel cüzdanların ihlalleri bu toplamın %20'sini, yani 713 milyon doları oluşturuyor. Ancak, bu rakam Bybit borsa hack'i olmadan %37 daha fazla olacaktı.

Karşılaştırma açısından, kişisel cüzdan ihlalleri 2022'de çalınan değerin yalnızca %7.3'ünü ve 2024'te %44'ünü oluşturuyordu; bu da saldırganların değer peşinde kullanıcı anahtarlarının bulunduğu her yere gittiğini gösteriyor.

Kişisel cüzdan ihlalleri 2024'te toplam kripto kayıplarının %44'üne ulaştıktan sonra 2025'te yaklaşık %23'e düştü. Görsel: Chainalysis

Kullanıcı Deneyimi/Güvenlik Takası Asla Kaybolmayacak

Tarayıcı uzantıları, reklam yazılımları ve rastgele eklentilerle aynı ortamda yer alır. ShadyPanda ve GhostPoster gibi kampanyalar, masum uzantıların yıllar sonra çerezleri çalan veya uzaktan komutları yürüten kodlarla güncellenebileceğini gösteriyor.

Trust Wallet durumu, hatta saygın cüzdanların bile kısa süreliğine tehlikeli güncellemeler gönderebileceğini kanıtlıyor ve kullanıcılar, uzantıların arka planda otomatik güncellemeleri kabul ettiği için bunları kabul ediyor. İşte takas: otomatik güncellemeler, güvenlik açıklarını hızlı bir şekilde kapatır ancak aynı zamanda kötü kodu geniş ölçekte dağıtır.

Kullanılabilirlik, kullanıcıları kör onaylamaya yönlendiriyor çünkü ETH ve EVM işlemleri, sıradan kullanıcılar için korkunç derecede zor okunur.

Bir tarayıcı uzantısı aracılığıyla takas onaylarken, çoğu kullanıcı, insan tarafından okunabilir anlamlar yerine belirsiz hex blobları üzerinde Onayla'ya dokunuyor.

Sonuç olarak, drainer kitleri, rutin onaylar gibi görünen işlemleri sunarak saldırgan sözleşmelere tam token harcama hakları veriyor.

Kullanıcı teknik olarak her adımı onaylıyor, ancak neyin imzalandığını bilmiyor. Bu, kullanıcı davranışındaki bir hata değil, tarayıcı cüzdanlarının sürtünmeyi minimize etme şeklinin bir özelliği.

Bir Ethereum RPC çağrısı, kullanıcıların sıklıkla yorumlayamadıkları işlemleri körü körüne onaylamalarının nedenini gösteren okunamaz bir hex kodlu işlem parametresini sergiliyor. Görsel: Ethereum Stack Exchange

En iyi uygulamalar hâlâ kullanıcıların bağlamı güvenilir bir şekilde doğrulayabileceğini varsayıyor. Yıllardır, kendi kendine saklama hijyeni şunu ifade ediyordu: asla seed kelimelerini paylaşma, URL'leri kontrol et, donanım cüzdanları kullan.

Bunlar gerekli kalmaya devam ediyor, ancak yetersiz.

Sahte uzantılar, kullanıcı bir cüzdan içe aktarmadan önce seed kelimesini doğrudan sormaz. Bunun yerine, tanıdık bir kullanıcı deneyimi sunarak kullanıcıların klonları gerçek olanlardan ayırt etmesini sağlar.

Chrome Web Mağazası'nın denetim süreci bunları yakalamalıdır, ancak bunu tutarlı bir şekilde yapmamaktadır.

Donanım cüzdanı kullanıcıları için, Ledger Connect Kit sömürüsü, 2023 sonlarından bu yana aynı hata çizgisini gösteriyor. Eski bir çalışanın NPM hesabı ele geçirildi ve saldırganlar, kitin kullandığı herhangi bir dApp'e draining kodu enjekte eden kötü niyetli bir paket gönderdi.

Ledger donanım cihazlarına sahip kullanıcılar, tarayıcı tarafındaki entegrasyon tehlikeye girdiği için yine de fon kaybetti. Anahtarlar hala cihazda olmasına rağmen, kullanıcılar draining işlemlerini imzaladı çünkü tarayıcının mantığı değiştirilmişti.

Deneysel veriler, donanım anahtar depolama ve hava boşluğu imzalama kombinasyonlarını içeren modellerin olay oranlarının %5'in altında olduğunu, yazılım tabanlı cüzdanlar için ise %15'in üzerinde olduğunu gösteriyor. Phishing tespiti ve işlem uyarıları olan cüzdanlar, kullanıcı tarafından bildirilen kayıpları neredeyse %60 oranında azaltıyor.

Ancak benimseme sorun: günlük DeFi etkinliği, çoğu kullanıcının kullanışlı bulduğu tek kurulum olan tarayıcı uzantıları üzerinden geçiyor. En güvenli yapılandırmalar çok karmaşık, kullanılabilir yapılandırmalar ise çok fazla maruz kalıyor.

Saldırıların Gerçekten Nerede Olduğu

2025'teki zayıf bağlantılar neredeyse tamamen zincirin üstünde, tarayıcı, uzantılar ve tedarik zinciri gibi, oysa çoğu kullanıcı eğitimi hala özel anahtar ve seed depolama seviyesinde ne olduğunu vurguluyor.

Saldırı yolları dört katmana ayrılıyor.

Bir diyagram, kripto kullanıcıları için saldırı yüzeylerini gösteriyor; 2025'teki istismarların %20'sinden fazlası tarayıcı ve cüzdan uzantı katmanlarını hedef alıyor.

Tarayıcı ve işletim sistemi katmanı, bilgi çalan kötü amaçlı yazılımların çalıştığı yerdir. ModStealer, AmosStealer ve SantaStealer gibi aileler, makineyi enfekte eder, uzantı depolamasını okur, tuş vuruşlarını yakalar veya anahtarları ve özel anahtarları dinlenme durumunda yakalamak için tarayıcı API'lerini bağlar.

TechRadar'ın bildirdiğine göre, bu araçlar artık yeraltı forumlarında ve Telegram'da hizmet olarak çalan olarak pazarlanmaktadır ve tarayıcı kimlik bilgilerini, çerezleri ve cüzdan verilerini yakalamak için özel modüllerle birlikte gelir ve ardından bunları sıkıştırılmış parçalar halinde dışarı aktarır.

Tarayıcı, giriş noktasıdır ve uzantılar, yüklemedir.

Cüzdan uzantı katmanı, tehlikeye girmiş veya kötü niyetli güncellemelerin çalıştığı yerdir. Trust Wallet'ın sürüm 2.68'i, sahte Safery cüzdanı ve Chrome'daki kötü niyetli cüzdanlar, kullanıcılar bunları görmeden önce sırları dışarı aktaran veya işlem taleplerini değiştiren kodlar ekledi.

Bu, kullanıcı deneyimi ve tedarik zinciri takasının eyleme geçirilmiş halidir: otomatik güncellemeler, güvenlik açıklarını kapatmak için kritik öneme sahiptir, ancak güncelleme mekanizması kendisi tehlikeye girdiğinde kötü kodu geniş ölçekte dağıtır.

dApp ve bağlayıcı katmanı, Ledger Connect Kit gibi kütüphanelerin ele geçirildiği yerdir. Bunlar yukarıda tehlikeye girdiğinde, meşru dApp'ler kötü niyetli işlemler sunmaya başlar.

Kullanıcı gerçek cüzdanını veya donanım cihazını bağladığında, normal görünümlü bir istem görür ve bir drainer işlemini imzalar. Bu katman çoğu kullanıcı için görünmezdir, çünkü hangi JavaScript kütüphanelerinin kullandığı dApp'leri kullanıyor olduklarını bilmezler ve bu kütüphanelerin değiştirilmediğini doğrulamanın bir yolu yoktur.

RPC ve blok zinciri katmanı, saldırının tamamlandığı yerdir. Bir kötü niyetli işlem imzalandıktan ve yayınlandıktan sonra, geri kalan yığın tasarlandığı gibi çalışır.

Fonlar hareket eder ve tek kalan savunmalar, izleme, hızlı olay yanıtı ve ekosistemin sahip olabileceği herhangi bir off-chain kurtarma önlemidir. Bu noktada zarar verilmiştir. Blok zinciri başarısız olmadı, ancak onun üzerindeki katmanlar başarısız oldu.

BTC ve ETH Sahiplerinin Gerçekten Yapması Gerekenler

Tarayıcı cüzdanları kullanma kontrol listesi ilke olarak pek değişmedi, ancak vurgu, tarayıcı katmanını önemli olan varlıklardan izole etmeye kaydırılmalıdır.

Aşağıdaki tablo, kullanıcıların tarayıcı cüzdanlarını tamamen terk etmeden maruziyeti azaltabilecekleri ana alanları özetlemektedir.

Cüzdan risk maruziyetini azaltma
Alan Ne yapılmalı Neden önemli
Soğuk vs. sıcak depolama Uzun vadeli BTC/ETH'yi donanım veya çoklu imza üzerinde tutun; tarayıcı cüzdanlarını yalnızca çalışma sermayesi için kullanın. Bir tarayıcı uzantısı veya PC tehlikeye girerse zararı sınırlar.
Tarayıcınızı izole edin Kripto için en az uzantıya sahip özel bir tarayıcı/profil kullanın ve resmi bağlantılardan yükleyin. Şüpheli eklentilerden ve zehirli arama reklamlarından saldırı yüzeyini küçültür.
Uzantıyı ve sürümü doğrulayın Büyük olaylardan sonra yayıncı adını ve uzantı sürümünü resmi cüzdan belgeleriyle karşılaştırın. Sahte veya değiştirilmiş uzantıları ve tehlikeye girmiş otomatik güncellemeleri yakalar.
Seed kelime yönetimi Seed kelimenizi asla bir tarayıcıya veya destek sohbetine yazmayın; eğer yazdıysanız, yeni bir donanım cüzdanına geçin. Tarayıcıya maruz kalan herhangi bir seed kelimesinin yanmış olduğunu varsayar ve kalıcı tehlikeyi ortadan kaldırır.
Onaylar ve izinler Düzenli olarak token onaylarını gözden geçirin ve iptal edin; belirsiz sözleşmelere sınırsız izinlerden kaçının. Tek bir kötü niyetli dapp veya drainer sözleşmesinin patlama alanını azaltır.
Uç nokta hijyeni İşletim sisteminizi ve tarayıcınızı güncel tutun; korsan yazılımlardan kaçının; bilgi çalanlar için ayarlanmış güvenilir bir antivirüs kullanın. Pek çok modern saldırı, özellikle cüzdan uzantılarını hedef alan kötü amaçlı yazılımlardan gelmektedir.
Cüzdan güvenlik özelliklerini kullanın Phishing korumasını, işlem simülasyonunu ve mevcut olduğunda adres defterlerini açın. Şüpheli alan adları ve işlemler için insan yargısının üzerine makine kontrolleri ekler.
Büyük miktarlar için sürtünme ekleyin Büyük transferler için ikinci bir cihaz, donanım cüzdanı veya çoklu imza onayı gerektirin. Hayat değiştiren miktarları taşımadan önce sizi tehlikeye girmiş tarayıcı yolundan çıkarır.

Endüstri Sorunu Biliyor ve Henüz Çözmedi

Trust Wallet olayı, sahte Chrome uzantıları, Ledger Connect Kit sömürüsü ve kişisel cüzdan ihlallerinin artan oranı, hepsi aynı sonuca işaret ediyor: tarayıcı düşmanca bir ortamdır ve seed kelimeleri ve donanım etrafındaki kendi kendine saklama en iyi uygulamaları hâlâ bunu tam olarak ele almıyor.

Başarısızlık modu, kullanıcıların anahtarları yanlış yönetmesinden, saldırganların kullanıcı deneyimi katmanını tehlikeye atmasına kaydı ve endüstri bunu yıllardır biliyor.

Mimari değişmedi çünkü alternatifler ya kitlesel benimseme için çok karmaşık ya da ethos'a uymak için çok merkezi.

Tarayıcı cüzdanları, daha geniş tarayıcı ortamından izole edilemediği veya işlem imzalama gerçekten hava boşluğu olan bir akışta gerçekleşmediği sürece, takas devam edecektir.

Kullanıcılar her kuralı takip edebilir, donanım cüzdanları kullanabilir, asla seed kelimelerini paylaşmayabilir ve yine de fon kaybedebilir çünkü etkileşimde bulundukları kod, pratik bir şekilde denetleme yolu olmayan bir şekilde sessizce tehlikeye girmiştir.

Bu, bir kullanıcı eğitimi problemi değil. Bu, bir mimari problem ve en iyi uygulamaların hiçbir miktarı bunu çözmeyecek.