ביום 25 בדצמבר דיווחו מספר משתמשי קריפטו על משיכות מהירות ולא מורשות מהרחבת הדפדפן Trust Wallet שלהם, מה שהוביל להודעת התראה קהילתית מיידית. הדיווחים הראשוניים הופיעו באמצעות החוקר בשרשרת ZachXBT, שאיתר מאות כתובות שנפרצו ברחבי שרשראות תואמות EVM, ביטקוין וסולאנה בתוך חלון של שעתיים. העלייה הפתאומית בהפסדים המדווחים—שבהתחלה הוערכה ביותר מ-6 מיליון דולר—הפעילה אזהרות דחופות בטלגרם וב-X, וקראה לכל המשתמשים לבטל את ההיתרים ולמשוך כספים.
מחקרי הקהילה זיהו במהרה את גרסת Chrome של Trust Wallet 2.68 כמכנה משותף. חקירת קבצי JavaScript של ההרחבה חשפה תוספות לא מוסברות ב"4482.js" שנעדרו מהעדכונים הרשמיים. קטעי קוד חשודים המסווגים כפעולות אנליטיקה היו, למעשה, מסוגלים ללכוד את מילות הזרע, לשדר אותן ל-metrics-trustwallet[.]com, ולחלץ ארנקים אוטומטית בעת ייבוא מילות הזרע. ההטענה הזדונית הופעלה רק עבור אירועי ייבוא ארנק, והתחמקה מהזיהוי המוקדם.
ניתוח מעקב-שרשרת שאחריו איתר מעל 6 מיליון דולר של נכסים שנגנבו שהופנו דרך מסנני פרטיות ושירותי הסוואה, והדגיש את כוונת התוקפים לכבס כספים במהירות. כתובות הקורבנות כללו חשבונות multisig פנימיים, ארנקים פרטיים בעלי ערך גבוה וסוחרים קמעונאיים קטנים כאחד. גם זוהו עסקאות Peel ממסנרים מרכזיים כמו Tornado Cash ו-Wasabi Wallet, המעידות על אסטרטגיות לכיבוס כספים מתואמות.
לאחר בחינה ציבורית, Trust Wallet הוציאה הודעת ייעוץ רשמית שאשרה כי האירוע האבטחה פגע רק בגרסה 2.68 של הרחבת הדפדפן. ההודעה המליצה על השבת ההרחבה באופן מיידי, על שדרוג לגרסה 2.69 מה-Chrome Web Store הרשמי, והימנעות מייבוא מילות זרע לסביבות דפדפן. מדווח כי משתמשי מובייל שאינם Chrome לא נפגעו. Trust Wallet הדגישה כי הפריצה לא פגעה באפליקציית המובייל הליבה שלה או בחוזים החכמים בשרשרת.
בעקבות ההתקפה, עלו הקריאות לבקרה תקנית של הרחבות, ליומני שינויים שקופים ולביקורות עצמאיות. חברות אבטחת בלוקצ'יין וקבוצות ביקורת בקוד פתוח משתפות פעולה על כלים לזיהוי קוד חריג בצד הלקוח בהרחבות הארנק הפופולריות. נכון לעכשיו, האירוע של Trust Wallet מהווה דוגמה מובהקת לאופן שבו פגיעויות בשרשרת האספקה עלולות לפגוע בהבטחה של שליטה עצמית על הנכסים, ולעודד את הקהילה להעדיף אבטחה מקצה-לקצה בתכנון ובהפצת הארנק.
תגובות (0)