Trust Wallet потвърждава хакове в веригата за доставки на стойност 8,5 милиона долара чрез изтекъл API ключ за Chrome

Общ преглед

Trust Wallet потвърди, че атака по веригата на доставки чрез компрометирано обновление на Chrome разширението е довела до загуби в размер на приблизително 8.5 милиона долара. Изтекъл API ключ за Google Chrome Web Store позволи на атакуващите да качат злонамерена версия на браузърното разширение Trust Wallet директно в официалния Web Store, заобикаляйки преглед на кода и проверките за сигурност.

Детайли за атаката

• Период на атаката: 24 – 26 декември 2025 г.
• Версия на разширението: 2.68
• Брой засегнати: 2 520 адреси на портфейли
• Метод: злонамерен код, маскиран като аналитичен трафик към фалшив домейн metrics-trustwallet[.]com

Технически анализ

Категория на атаката във веригата за доставки: компрометиране на ключове. За разлика от типичните експлоати на смарт договори, този инцидент е насочен към механизма за разпространение. Личните удостоверения, използвани за публикуване на разширението, бяха разкрити, което позволи вмъкване на код за извличане на данни в процеса на пускане на версията. Не беше експлоатирана уязвимост на веригата; крайните потребители бяха насочени чрез доверена инфраструктура.

Мерки за реакция

• Немедленно анулирани компрометираните API идентификационни данни.
• Върнато към сигурната версия на разширението 2.69.
• Внедрено е подобрено управление на ключовете за пускане и многофакторна аутентификация на системите за внедряване.
• Предложено е възстановяване на всички допустими засегнати лица, покриващо пълните загуби.

Последствия за индустрията

Критичните елементи на инфраструктурата, като разпределителните ключове, представляват една точка на отказ. Портфейлите на базата на разширения трябва да въвеждат строга ротация на креденциалите, мониторинг на акаунтите на издателите и извънверижно подписване на код, за да се смекчат подобни рискове. Екипите за сигурност трябва да третират векторите на веригата за доставки със същия приоритет, както и одитите на смарт договори.

Препоръки за потребителите

Потребителите, инсталирали версия 2.68, трябва да приемат, че са компрометирани, да прехвърлят средствата си към нови портфейли, създадени на сигурно устройство, и да регенерират мнемоничните фрази. Проверка на версията на разширението и актуализация до v2.69 или по-нова е задължителна. Искания за възстановяване трябва да се подават чрез официалните канали за поддръжка на Trust Wallet.