Trust Wallet megerősíti, hogy 8,5 millió dolláros ellátási lánc-támadások történt a kiszivárgott Chrome API-kulcsok révén.

by Admin |

Áttekintés

Trust Wallet megerősítette, hogy egy kompromittált Chrome-bővítmény-frissítésen keresztül végrehajtott ellátási lánc-támadás körülbelül 8,5 millió dolláros veszteséget okozott. A kiszivárgott Google Chrome Web Store API-kulcs lehetővé tette a támadók számára, hogy a Trust Wallet böngésző-kiegészítőjének kártékony verzióját közvetlenül a hivatalos Web Store-ba töltsék fel, megkerülve a kódellenőrzést és a biztonsági ellenőrzéseket.

Támadás részletei

  • Támadás időszaka: 2025. december 24–26.
  • Kiterjesztés verziója: 2.68
  • Áldozatok száma: 2 520 pénztárca-címek
  • Módszer: kártékony kód analitikai forgalomként álcázva egy hamis domainhez, metrics-trustwallet[.]com

Technikai elemzés

Ellátási lánc-támadás kategóriája: kulcs-kompromittáció. A tipikus okos szerződés-kiaknázásoktól eltérően ez az incidens a terjesztési mechanizmust célozta. A bővítmény közzétételéhez használt magán hitelesítő adatok ki lettek téve, lehetővé téve exfiltrációs kód beültetését a kiadási folyamatba. Nem történt on-chain sebezhetőség kiaknázása; a végfelhasználókat megbízható infrastruktúrán keresztül célozták meg.

Válaszintézkedések

  • Azonnal visszavonták a kompromittált API-kulcsokat.
  • Visszaállították a biztonságos, 2.69-es verziójú bővítményre.
  • Növelték a kiadási kulcsok kezelését és a többfaktoros hitelesítést a telepítési rendszereken.
  • Kárpótlást nyújtottak minden jogosult áldozat számára, a teljes veszteséget fedezve.

Iparági következmények

Kritikus infrastruktúra elemei, mint például a terjesztési kulcsok, egyetlen meghibásodási pontot jelentenek. Kiterjesztés-alapú pénztárcáknak szigorú hitelesítő adatok rotációját, a kiadó fiókjainak nyomon követését és külső (out-of-band) kódaláírást kell bevezetniük a hasonló kockázatok mérséklése érdekében. A biztonsági csapatoknak az ellátási lánc vektorait ugyanolyan prioritással kell figyelembe venniük, mint az okos szerződés auditokat.

Felhasználói javaslatok

A 2.68-as verziót telepítő felhasználóknak feltételezniük kell a kompromittálódást, a pénzeiket át kell vinniük egy biztonságos eszközön generált új pénztárcákba, és regenerálniuk kell a seed kifejezéseket. A bővítmény verziójának ellenőrzése és a 2.69-es vagy annál újabb verzióra történő frissítés kötelező. A kártérítési igényeket a hivatalos Trust Wallet támogatási csatornákon keresztül kell benyújtani.

Hozzászólások (0)

Váljon VIP taggá

Csatlakozzon hírlevelünkhöz

Iratkozzon fel, hogy megkapja a legfrissebb frissítéseket, ingyenes tippeket és exkluzív ajánlatokat!

Jason most VIP-tag lett!
Csatlakozás

Korlátozott ajánlat

Siessen, és szerezze meg a 20% kedvezményt a VIP előfizetésre!
00:00:00

Szerezzen kedvezményt

Szerezze meg a jelet ma

Egy aktuális BTC/ETH jelzés a csatornánkról – ingyen.
Próbálja ki, hogyan működik, mielőtt csatlakozna a VIP-hez.

Ugrás a Telegram-csatornára Nincs spam — csak kereskedési ötletek.