Son dönemde ucuz Bitcoin donanım cüzdanlarında yaygın olarak kullanılan ESP32 mikrodenetleyicisinde ciddi bir güvenlik açığı keşfedildi. CVE-2025-27840 olarak kaydedilen bu açık, çipin rastgele sayı üreticisindeki düşük entropi (yani yetersiz rastgelelik) sorunundan kaynaklanıyor.
Bu durum, ESP32’nin güvenli özel anahtarlar oluşturma yeteneğini zayıflatıyor ve kullanıcıları kaba kuvvet saldırıları, kötü amaçlı yazılım güncellemeleri ve izinsiz Bitcoin işlemleri gibi risklerle karşı karşıya bırakıyor.
İlginizi çekebilir: ABD hükümetinden Bitcoin hamlesi: Hedef 1 milyon BTC!
ESP32 nedir ve neden bu kadar yaygın?
ESP32, Espressif Systems tarafından geliştirilen, düşük maliyetli, Wi-Fi ve Bluetooth destekli bir mikrodenetleyicidir. Uygun fiyatı ve geniş entegrasyon imkanı sayesinde Blockstream’in Jade cüzdanı gibi popüler açık kaynak projelerde ve DIY (kendin yap) donanım cüzdanlarında sıkça tercih ediliyor. Ancak bu çok yönlülüğün bir bedeli var: ESP32, Ledger, Trezor veya Coldcard gibi ileri düzey donanım cüzdanlarında bulunan donanımsal güvenlik modüllerine (HSM) sahip değil.
Güvenlik açığının riskleri neler?
ESP32’nin rastgele sayı üreticisi, güvenli özel anahtar üretimi için gerekli yüksek kaliteli entropiyi sağlayamıyor. Bu da saldırganların belirli durumlarda özel anahtarları öngörebilmesini veya hesaplayabilmesini mümkün kılabiliyor. Sonuç olarak, kullanıcı fonları ciddi tehlike altına girebiliyor.
Dahası, çipin mimarisi, yetkisiz üçüncü tarafların modül güncellemeleri göndermesine olanak tanıyabiliyor. Bu da cihazın kullanıcının bilgisi dışında işlem imzalamasına neden olabilir bu tür bir güvenlik zafiyeti, özellikle düşük maliyetli cüzdanlar açısından kaygı verici.
Üst düzey cüzdanlar neden daha güvende?
Ledger gibi ileri düzey donanım cüzdanları, özel güvenlik bileşenleri barındırır ve bu bileşenler fiziksel müdahale ve tersine mühendisliğe karşı dirençli. Aynı zamanda güvenli rastgele sayı üretimi ve kriptografik sırların saklanması için özel olarak tasarlandı. Bu nedenle, CVE-2025-27840 gibi açıklar bu üst düzey cihazları doğrudan etkilemez.
Ne yapılmalı?
ESP32 tabanlı donanım cüzdanları kullanan geliştiricilerin, sistemlerine harici bir entropi kaynağı entegre etmeleri veya daha güvenli bir donanım mimarisine geçmeleri öneriliyor.
Kullanıcılar ise güvenlik açığı tamamen giderilene kadar varlıklarını daha güvenli cüzdanlara geçici olarak taşımalı ve üretici güncellemelerini yakından takip etmeli.
