25 dekabr tarixində bir çox kriptovalyuta istifadəçisi Trust Wallet brauzer əlavəsindən sürətli və icazəsiz vəsait çıxışları barədə xəbər verdi və bu, dərhal icma xəbərdarlığına səbəb oldu. İlkin xəbərlər iki saatlıq müddətdə EVM-uyğun zəncirlər, Bitcoin və Solana üzrə yüzlərlə kompromit ünvanı işarə edən on-chain araşdırıcısı ZachXBT tərəfindən yayıldı. Bildirilən itkilərin ani artımı — ilkin olaraq 6 milyon ABŞ dollarından çox sayıldı — Telegram və X üzərindən təcili xəbərdarlıqların verilməsinə səbəb oldu və bütün istifadəçilərə təsdiqləmələri ləğv edib vəsaiti çıxarmağı tövsiyə etdi.
İcma tədqiqatçıları Trust Wallet Chrome uzantısının 2.68 versiyasını ümumi amil kimi tez müəyyən etdilər. Uzantının JavaScript fayllarının araşdırılması, rəsmi buraxılış qeydlərində olmayan “4482.js” faylında izaholunmaz əlavələrin ortaya çıxmasına gətirib çıxardı. Şübhəli kod seqmentləri analitik funksiyalar kimi maskalanmış olsa da, əslində seed ifadələrini ələ keçirmə, onları metrics-trustwallet[.]com-ə göndərmə və seed idxalı zamanı cüzdanları avtomatik olaraq boşaltmaq qabiliyyətində idi. Zərərli yük yalnız cüzdan idxalı hadisələri üçün aktivləşdi, erkən aşkarlanmanın qarşısını alaraq.
Daha sonra zəncir izləmə araşdırması 6 milyon ABŞ dollarından çox oğurlanmış vəsaitin gizlilik qarışdırıcıları və örtbas etmə xidmətləri vasitəsilə yönəldildiyini göstərdi, hücumçuların vəsaitləri tez yumaq niyyətini vurğuladı. Qurban ünvanları daxili multisig hesablarını, yüksək dəyərli fərdi cüzdanları və kiçik pərakəndə ticarətçiləri əhatə edirdi, brauzer əsasında olan cüzdanların təchizat zənciri hücumlarına qarşı həssas olduğunu bir daha göstərdi. Tornado Cash və Wasabi Wallet kimi əsas qarışdırıcılardan əməliyyatlar da müşahidə edildi, koordinasiya olunmuş yuma strategiyalarına işarə etdi.
İctimai tənqiddən sonra Trust Wallet yalnız 2.68 versiyasına təsir edən təhlükəsizlik hadisəsini qəbul edən rəsmi xəbərdarlıq yayımladı. Xəbərdə uzantını dərhal söndürməyi, rəsmi Chrome Web Store-dan 2.69 versiyasına yüksəltməyi və brauzer mühitlərinə seed ifadələrinin idxalını qaçınmağı məsləhət gördü. Mobil və Chrome-dan kənar istifadəçilərin zərər görmədiyi bildirildi. Trust Wallet vurğuladı ki, pozuntu onun əsas mobil tətbiqinə və on-chain ağıllı müqavilələrinə zərər verməmişdir.
Hadisə öz-özünə saxlama riskləri və əməliyyat təhlükəsizliyi ilə bağlı müzakirəni yenidən qızışdırdı. Ekspertlər bildirdilər ki açarların idarəetmə mühitləri kriptoqrafik protokollar qədər kritikdir və təchizat zənciri bütöv lüyünü həm cüzdan təminatçıları, həmdə brauzer bazarları tərəfindən tətbiq edilməlidir. Hər halda dərhal ehtiyat kimi təhlükəsizlik tədqiqatçıları zərər çəkmiş istifadəçilərə qalan aktivləri təhlükəsiz, hava ilə ayrılmış cihazlarda yaradılan yeni cüzdanlara köçürməyi, bütün dApp təsdiqlərini ləğv etməyi və şəbəkə fəaliyyətində şübhəli qarşılıqlı təsirləri izləməyi məsləhət etdi.
Hadisədən sonra standartlaşdırılmış uzantı yoxlanması, şəffaf dəyişiklik qeydləri və müstəqil auditlər üçün çağırışlar daha çox səsə çevrildi. Blokçeyn təhlükəsizlik şirkətləri və açıq mənbə auditor qrupları populyar cüzdan uzantılarında müştəri tərəfi koddakı anomaliyaları aşkarlamaq üçün alətlər üzərində əməkdaşlıq edir. Hal-hazırda Trust Wallet insidenti təchizat zənciri zəifliklərinin öz-özünə suveren varlıq idarəçiliyi barədə sözünü necə sarsıda biləcəyinə dair açıq bir nümunə kimi dayanır və icmanı cüzdan dizaynı və paylanması üzrə son-dan-sona təhlükəsizliyə üstünlük verməyə çağırır.
Şərhlər (0)