На 25 декември множество потребители на криптовалути съобщиха за бързи, неоторизирани тегления от разширението Trust Wallet за браузър, което предизвика незабавно обществено предупреждение. Първоначалните съобщения се появиха чрез изследователя по веригата ZachXBT, който отбеляза стотици компрометирани адреси в EVM-съвместими вериги, Bitcoin и Solana в рамките на два часа. Рязкото увеличение на докладваните загуби — първоначално оценени на над 6 милиона долара — предизвика спешни предупреждения в Telegram и X, призовавайки всички потребители да оттеглят одобренията и да изтеглят средствата.
Общностните изследователи бързо идентифицираха версия 2.68 на Chrome разширението Trust Wallet като общ знаменател. Разследването на JavaScript файловете на разширението разкри необясними добавки в 4482.js, които липсваха в официалните бележки за издания. Подозрителни участъци код, маскирани като аналитични функции, всъщност бяха способни да уловят seed фрази, да ги изпращат на metrics-trustwallet[.]com и след това да източват портфейли автоматично при импортиране на фразата. Злонамереното натоварване (payload) се активираше само за събития на импорт на портфейл, като избягваше ранното откриване.
Следващият анализ по веригата проследи над 6 милиона долара откраднати активи, пренасочени през privacy mixers и услуги за обфускация, подчертавайки намерението на нападателите да изперят средствата бързо. Адресите на жертвите обхваща мултиподпис акаунти, портфейли с голям баланс и малки търговци на дребно, което подчертава уязвимостта на браузър-базирани портфейли към атаки по веригата за доставки. Също бяха наблюдавани транзакции за изчистване на средства чрез големи миксъри като Tornado Cash и Wasabi Wallet, което сочи към координирани стратегии за измиване на пари.
След общественото внимание Trust Wallet издаде официално предупреждение, признавайки инцидент за сигурността, засягащ единствено версията 2.68 на разширението. Препоръката призоваваше за незабавно деактивиране на разширението, надграждане до версия 2.69 от официалния Chrome Web Store и избягване на импортиране на seed фрази в браузърни среди. Мобилните потребители и потребителите, които не използват Chrome, не са засегнати. Trust Wallet подчерта, че пробивът не засяга основното мобилно приложение или смарт договорите в блокчейна.
Инцидентът поднови дебатите за рисковете на самостоятелното управление на активи и оперативната сигурност. Експертите повториха, че средите за управление на ключове са толкова критични, колкото криптографските протоколи, и че целостта на веригата за доставки трябва да се гарантира както от доставчиците на портфейли, така и от пазари за браузъри. Като незабавна предпазна мярка експертите по сигурността посъветваха засегнатите потребители да прехвърлят оставащите активи към нови портфейли, създадени на сигурни устройства без връзка към интернет (air-gapped), да оттеглят всички dApp разрешения и да следят мрежовата активност за съмнителни взаимодействия.
След атаката призивите за стандартизирана проверка на разширения, прозрачни дневници за промените и независими одити станаха по-силни. Фирми за сигурност на блокчейн и групи за одит на открит код си сътрудничат за инструменти за откриване на аномален клиентски код в популярни портфейлни разширения. Засега инцидентът Trust Wallet е ярък пример за това как уязвимостите в веригата за доставки могат да подкопаят обещанието за самостоятелно управление на активи, насърчавайки общността да постави на първо място сигурността от край до край в дизайна и разпространението на портфейли.
Коментари (0)