Il 25 dicembre, molteplici utenti di criptovalute hanno segnalato rapidi prelievi non autorizzati dall'estensione del browser Trust Wallet, provocando un immediato allarme comunitario. Le prime segnalazioni sono emerse tramite l'investigatore on-chain ZachXBT, che ha segnalato centinaia di indirizzi compromessi su catene compatibili EVM, Bitcoin e Solana nell'arco di due ore. L'improvviso aumento delle perdite segnalate—inizialmente stimato oltre 6 milioni di dollari—ha innescato avvertimenti urgenti su Telegram e X, esortando tutti gli utenti a revocare le approvazioni e ritirare i fondi.
I ricercatori della comunità hanno rapidamente identificato la versione 2.68 dell'estensione Chrome di Trust Wallet come denominatore comune. L'indagine sui file JavaScript dell'estensione ha rivelato aggiunte inspiegate in “4482.js” assenti dalle note di rilascio ufficiali. Segmenti di codice sospetti mascherati da funzioni di analytics erano, in realtà , in grado di catturare le frasi seed, inviarle a metrics-trustwallet[.]com e poi prosciugare i portafogli automaticamente al momento dell'importazione delle frasi seed. Il payload malevolo si attivava solo per eventi di importazione del portafoglio, eludendo la rilevazione precoce.
Un'ulteriore analisi lungo la catena ha tracciato oltre 6 milioni di dollari in asset rubati convogliati attraverso mixer di privacy e servizi di offuscamento, evidenziando l'intento degli aggressori di riciclare rapidamente i fondi. Gli indirizzi delle vittime spaziavano da account multisig interni, portafogli individuali di alto valore e piccoli trader al dettaglio, sottolineando la vulnerabilitĂ dei wallet basati su browser agli attacchi della supply chain. Sono state osservate anche transazioni di peeling da importanti mixer quali Tornado Cash e Wasabi Wallet, indicando strategie di riciclaggio coordinate.
Dopo l'attenzione pubblica, Trust Wallet ha emesso un avviso ufficiale che riconosce un incidente di sicurezza che riguarda solo la versione 2.68 dell'estensione. L'avviso raccomanda la disabilitazione immediata dell'estensione, l'aggiornamento alla versione 2.69 dallo Chrome Web Store ufficiale e l'evitare le importazioni di frasi seed negli ambienti del browser. Si è riferito che gli utenti mobili e non Chrome non sono stati colpiti. Trust Wallet ha sottolineato che la violazione non ha compromesso la sua app mobile principale o i contratti intelligenti on-chain.
L'incidente ha riacceso il dibattito sui rischi della custodia autonoma e sulla sicurezza operativa. Gli esperti hanno ribadito che gli ambienti di gestione delle chiavi sono tanto critici quanto i protocolli crittografici, e che l'integritĂ della catena di fornitura deve essere assicurata sia dai fornitori di portafogli sia dai marketplace dei browser. Come precauzione immediata, i ricercatori di sicurezza hanno consigliato agli utenti interessati di migrare gli asset rimanenti verso portafogli nuovi creati su dispositivi sicuri, isolati dall'aria, revocare tutte le approvazioni dApp e monitorare l'attivitĂ di rete per interazioni sospette.
All'indomani dell'attacco, le richieste di una verifica standardizzata delle estensioni, registri delle modifiche trasparenti e audit indipendenti si sono fatte piĂą pressanti. SocietĂ di sicurezza blockchain e gruppi di audit open-source stanno collaborando su strumenti per rilevare codice lato client anomalo nelle popolari estensioni di portafogli. Per ora, l'incidente Trust Wallet resta un chiaro esempio di come le vulnerabilitĂ della supply chain possano minare la promessa del controllo autonomo degli asset, spingendo la comunitĂ a dare prioritĂ alla sicurezza end-to-end nel design e nella distribuzione del portafoglio.
Commenti (0)