Trust Wallet потвърждава хакове в веригата за доставки на стойност 8,5 милиона долара чрез изтекъл API ключ за Chrome

by Admin |

Общ преглед

Trust Wallet потвърди, че атака по веригата на доставки чрез компрометирано обновление на Chrome разширението е довела до загуби в размер на приблизително 8.5 милиона долара. Изтекъл API ключ за Google Chrome Web Store позволи на атакуващите да качат злонамерена версия на браузърното разширение Trust Wallet директно в официалния Web Store, заобикаляйки преглед на кода и проверките за сигурност.

Детайли за атаката

  • Период на атаката: 24 – 26 декември 2025 г.
  • Версия на разширението: 2.68
  • Брой засегнати: 2 520 адреси на портфейли
  • Метод: злонамерен код, маскиран като аналитичен трафик към фалшив домейн metrics-trustwallet[.]com

Технически анализ

Категория на атаката във веригата за доставки: компрометиране на ключове. За разлика от типичните експлоати на смарт договори, този инцидент е насочен към механизма за разпространение. Личните удостоверения, използвани за публикуване на разширението, бяха разкрити, което позволи вмъкване на код за извличане на данни в процеса на пускане на версията. Не беше експлоатирана уязвимост на веригата; крайните потребители бяха насочени чрез доверена инфраструктура.

Мерки за реакция

  • Немедленно анулирани компрометираните API идентификационни данни.
  • Върнато към сигурната версия на разширението 2.69.
  • Внедрено е подобрено управление на ключовете за пускане и многофакторна аутентификация на системите за внедряване.
  • Предложено е възстановяване на всички допустими засегнати лица, покриващо пълните загуби.

Последствия за индустрията

Критичните елементи на инфраструктурата, като разпределителните ключове, представляват една точка на отказ. Портфейлите на базата на разширения трябва да въвеждат строга ротация на креденциалите, мониторинг на акаунтите на издателите и извънверижно подписване на код, за да се смекчат подобни рискове. Екипите за сигурност трябва да третират векторите на веригата за доставки със същия приоритет, както и одитите на смарт договори.

Препоръки за потребителите

Потребителите, инсталирали версия 2.68, трябва да приемат, че са компрометирани, да прехвърлят средствата си към нови портфейли, създадени на сигурно устройство, и да регенерират мнемоничните фрази. Проверка на версията на разширението и актуализация до v2.69 или по-нова е задължителна. Искания за възстановяване трябва да се подават чрез официалните канали за поддръжка на Trust Wallet.

Коментари (0)

Станете VIP участник

Присъединете се към нашия бюлетин

Абонирайте се, за да получавате най-новите актуализации, безплатни съвети и ексклузивни оферти!

Джейсън току-що стана VIP участник!
Станете участник

Ограничено предложение

Побързайте да получите 20% отстъпка за VIP абонамент!
00:00:00

Вземете отстъпка

Вземете сигнал днес

Един актуален сигнал BTC/ETH от нашия канал — безплатно.
Проверете как работи, преди да преминете към VIP.

Отидете в Telegram канал Без спам — само търговски идеи.