Trust Wallet potvrzuje hack v dodavatelském řetězci v hodnotě 8,5 milionu dolarů prostřednictvím uniklého klíče API pro Chrome.

by Admin |

Přehled

Trust Wallet potvrdil, že útok na dodavatelský řetězec prostřednictvím kompromitované aktualizace rozšíření Chrome vedl k ztrátám ve výši přibližně 8,5 milionu dolarů. Unesený klíč API z obchodu Google Chrome Web Store umožnil útočníkům nahrát škodlivou verzi rozšíření Trust Wallet přímo do oficiálního Web Store, čímž byl obejit kontrola kódu a bezpečnostní opatření.

Detaily útoku

  • Období útoku: 24.–26. prosince 2025
  • Verze rozšíření: 2.68
  • Počet obětí: 2 520 adres peněženek
  • Metoda: Škodlivý kód maskovaný jako analytický provoz na falešné doméně metrics-trustwallet[.]com

Technická analýza

Kategorie útoku na dodavatelský řetězec: kompromitace klíčů. Na rozdíl od obvyklých útoků na chytré smlouvy byl tento incident zaměřen na mechanismus distribuce. Soukromé přihlašovací údaje používané k publikaci rozšíření byly zveřejněny, což umožnilo vložení exfiltračního kódu do vydávacího procesu. Nebyla zneužita žádná zranitelnost na blockchainu; koncoví uživatelé byli cíleni prostřednictvím důvěryhodné infrastruktury.

Opatření při reakci

  • Okamžitě byly odvolány kompromitované API přihlašovací údaje.
  • Byla vrácena bezpečná verze rozšíření 2.69.
  • Zavedeno bylo lepší řízení klíčů vydání a vícefaktorová autentizace na nasazovacích systémech.
  • Nabídnuto odškodnění všem oprávněným obětem, zahrnující plné ztráty.

Průmyslové dopady

Klíčové prvky kritické infrastruktury, jako jsou distribuční klíče, představují jediný bod selhání. Peněženky založené na rozšířeních by měly přijmout důslednou rotaci oprávnění, monitorování účtů vydavatelů a podpis kódu mimo kanály, aby se minimalizovala podobná rizika. Bezpečnostní týmy musí brát v úvahu vektory dodavatelského řetězce se stejnou prioritou jako audity chytrých smluv.

Doporučení pro uživatele

Uživatelé, kteří nainstalovali verzi 2.68, musí předpokládat kompromitaci, přesunout prostředky na nové peněženky vytvořené na zabezpečeném zařízení a regenerovat seed fráze. Ověření verze rozšíření a aktualizace na verzi 2.69 nebo vyšší je povinné. Žádosti o náhradu by měly být podány prostřednictvím oficiálních podpůrných kanálů Trust Wallet.

Komentáře (0)

Staňte se VIP členem

Připojte se k našemu newsletteru

Přihlaste se k odběru nejnovějších aktualizací, bezplatných tipů a exkluzivních nabídek!

Jason se právě stal VIP členem!
Stát se účastníkem

Omezená nabídka

Stihněte získat 20% slevu na VIP předplatné!
00:00:00

Získat slevu

Získejte signál ještě dnes

Jeden aktuální signál BTC/ETH z našeho kanálu – zdarma.
Vyzkoušejte, jak to funguje, než přejdete do VIP.

Přejít na Telegram kanál Žádný spam — pouze obchodní nápady.