Ethereum Cüzdanından 300,000 Dolardan Fazla Kayıp
İki hafta önce bir Ethereum cüzdanı yüz binlerce dolarla doldu. Tek problem ise bu cüzdanın başka cüzdanlardan hacklenerek çalınmasıydı.
Geçtiğimiz haftalarda 400,000 $ değeri aşan Ethereum bir hackerın cüzdanına transfer edilmişti. Bunun 350,000 $‘lık kısmı 2 ay önce halkın kullanımına açılan bir süreçle çalınmıştı. Birtakım güvenlik önlemleriyle çalınan fonların bir kısmı hackerdan geri alınabildi.
Hacklenme
Fonların büyük bir kısmı, 973 ether yalnızca bir kullanıcıdan çalındı. Jaxx Wallet kullanan bu kişi cüzdanını rootlu Android telefondan yönetiyordu.
İşte bu da hackerın fonlara erişim kazanmasını sağlayan faktördü.
(Bilmeyenler için: rootlu Android’ler jailbreak yapılmış iPhonelar gibidir. Rootlu bir telefonunuz varsa yeni ve özel uygulamalar indirebilirsiniz ama telefonunuzun güvenliği garanti edilmez.)
Bu vakada da güvenli olmayan bir uygulamanın indirilmesi hackerın telefona sızmasını sağlamış gibi gözüküyor. Cihaza sızmasının ardından hacker bir yetkisiz erişim kazanma programı kullanarak Jaxx Wallet’ların yedek şifrelerını çıkarmış. Bu program aylardır bilinmekte fakat Jaxx bir çevrimiçi cüzdan olduğundan (coinlerin depolanmayıp sürekli olarak kullanıldığı cüzdan tipi) hiçbir önlem alınmamış. Cüzdanı hacklenen ve kimliğini belirtmek istemeyen kullanıcı coinidol.com‘da:
“Kolaylıkla düzeltilebilecek bir ihmalkârlık gibi duruyor, sağlığım yerinde ve hayat devam ediyor.” dedi.
Nasıl çalışıyor?
VX Laboratuvarları’nda çalışan ve kullanılan programın ne olduğunu belirleyen araştırmacıya göre hackleme işlemi şu şekilde gerçekleşti:
“Eğer Jaxx hesabınız şifreyle güvence altına alınmış olsa bile bilgisayarınıza 20 saniyeliğine erişebilecek herhangi bir kişi kolayca 12 kelimelik yedek şifrenizi bulup kopyalayabilir. Bunun yapılabilmesi için Jaxx’in açık olması da gerekmez. Sonrasında bu 12 kelimelik şifreyle de cüzdanınız ve tohum kelimelerinizi kendi bilgisayarlarına aktarıp bütün kripto paralarınızı transfer edebilirler.”
Jaxx ekibi bu programı onarmanın dijital cüzdanın kullanımını gereksiz bir ölçüde zorlaştıracak diye düşünüyor. Jaxx’in CTO’su Nilang Vyas:
“Kullanıcıların tecrübesi, taşınılabilirlik ve güvenlik arasında her zaman fedakarlıklar yapmak gerekecek ve biz müthiş bir denge yakaladığımızı düşünüyoruz. 2013’ten bu yana 7500,000’den fazla Jaxx ve eski şirketimiz olan Kryprokit cüzdanı oluşturuldu. Daha önce bizim tarafımızdan yapılan biri hata nedeniyle hiç fon kaybedilmedi. Bu müthiş sicilimizin arkasındayız.” dedi.