Trust Wallet confirma un atac a la cadena de subministrament de 8,5 milions de dòlars mitjançant una clau API de Chrome filtrada

by Admin |

Visió general

Trust Wallet va confirmar que un atac de la cadena d'aprovisionament a través d'una actualització de l'extensió de Chrome compromesa va provocar pèrdues d'aproximadament 8,5 milions de dòlars. Una clau d'API filtrada de Google Chrome Web Store va permetre als atacants carregar una versió maliciosa de l'extensió del navegador Trust Wallet directament a la Web Store oficial, evitant la revisió de codi i les comprovacions de seguretat.

Detalls de l'atac

  • Període d'atac: 24 – 26 de desembre de 2025
  • Vesió de l'extensió: 2.68
  • Nombre de víctimes: 2.520 adreces de cartera
  • Mètode: codi maliciós dissimulat com trànsit analític cap a un domini fals metrics-trustwallet[.]com

Anàlisi tècnica

Categoria d'atac de la cadena d'aprovisionament: compromís de claus. A diferència de les explotacions típiques de contractes intel·ligents, aquest incident va dirigir-se al mecanisme de distribució. Credencials privades utilitzades per publicar l'extensió van ser exposades, permetent la injeció de codi d'exfiltració a la cadena de lliurament. No es va explotar cap vulnerabilitat a la cadena; els usuaris finals van ser objectius de l'atac mitjançant una infraestructura de confiança.

Mesures de resposta

  • Credencials de l'API compromeses revocades immediatament.
  • Tornada a la versió segura de l'extensió 2.69.
  • Gestió millorada de claus de lliurament i autenticació de múltiples factors en els sistemes de desplegament.
  • Es va oferir un reemborsament a totes les víctimes elegibles, cobrint la totalitat de les pèrdues.

Implicacions per a la indústria

Elements d'infraestructura crítica com les claus de distribució representen un punt de fallada únic. Les carteres basades en extensions haurien d'adoptar una rotació rigorosa de credencials, el monitoratge dels comptes dels editors i la signatura de codi fora de banda per mitigar riscos similars. Els equips de seguretat han de considerar les vies de la cadena d'aprovisionament amb la mateixa prioritat que les auditories de contractes intel·ligents.

Recomanacions per a l'usuari

Els usuaris que van instal·lar la versió 2.68 han d'assumir que hi ha compromís, traslladar els fons a noves carteres generades en un dispositiu segur i tornar a generar les frases semilla. La verificació de la versió de l'extensió i l'actualització a la v2.69 o superior és obligatòria. Les reclamacions de reemborsament s'han de presentar a través dels canals oficials de suport de Trust Wallet.

Comentaris (0)

Converteix-te en un membre VIP

Uneix-te al nostre butlletí

Subscriviu-vos per rebre les últimes actualitzacions, consells gratuïts i ofertes exclusives!

En Jason acaba de convertir-se en membre VIP!
Ser participant

Oferta limitada

Aprofita un descompte del 20% en la subscripció VIP!
00:00:00

Obtenir un descompte

Obtingueu el senyal avui

Un senyal actual de BTC/ETH del nostre canal — gratis.
Comproveu com funciona abans de passar a VIP.

Anar al canal de Telegram Sense spam — només idees de comerç.