Trust Wallets confermano attacchi da 8,5 milioni di dollari alla supply chain tramite chiavi API di Chrome trapelate

by Admin |

Panoramica

Trust Wallet ha confermato che un attacco alla catena di fornitura tramite un aggiornamento compromesso dell'estensione Chrome ha causato perdite di circa 8,5 milioni di dollari. Una chiave API trapelata del Google Chrome Web Store ha permesso agli aggressori di caricare una versione dannosa dell'estensione del browser Trust Wallet direttamente sul Web Store ufficiale, bypassando la revisione del codice e i controlli di sicurezza.

Dettagli dell'attacco

  • Periodo dell'attacco: 24–26 dicembre 2025
  • Versione dell'estensione: 2.68
  • Numero di vittime: 2.520 indirizzi wallet
  • Metodo: codice malevolo mascherato da traffico analitico verso un dominio fasullo metrics-trustwallet[.]com

Analisi tecnica

Categoria di attacco alla catena di fornitura: compromissione delle chiavi. A differenza dei tipici exploit di smart contract, questo incidente ha preso di mira il meccanismo di distribuzione. Le credenziali private usate per pubblicare l'estensione sono state esposte, consentendo l'iniezione di codice di esfiltrazione nel flusso di rilascio. Nessuna vulnerabilità on-chain è stata sfruttata; gli utenti finali sono stati presi di mira tramite infrastrutture affidabili.

Misure di risposta

  • Le credenziali API compromesse sono state revocate immediatamente.
  • Ripristino alla versione sicura dell'estensione 2.69.
  • Gestione potenziata delle chiavi di rilascio e autenticazione a più fattori sui sistemi di distribuzione.
  • Rimborso offerto a tutte le vittime idonee, coprendo l'intero importo delle perdite.

Implicazioni per l'industria

Elementi di infrastruttura critica, come le chiavi di distribuzione, rappresentano un punto unico di fallimento. I wallet basati su estensioni dovrebbero adottare una rotazione rigorosa delle credenziali, monitorare gli account degli editori e firmare il codice fuori banda per mitigare rischi simili. I team di sicurezza devono considerare i vettori della supply chain con la stessa priorità delle verifiche sui contratti intelligenti.

Raccomandazioni per gli utenti

Gli utenti che hanno installato la versione 2.68 devono presumere una compromissione, spostare i fondi verso nuovi wallet generati su un dispositivo sicuro e rigenerare le frasi seed. La verifica della versione dell'estensione e l'aggiornamento alla versione 2.69 o superiore sono obbligatori. Le richieste di rimborso devono essere inviate tramite canali di supporto ufficiali di Trust Wallet.

Commenti (0)

Diventa un membro VIP
✖

Iscriviti alla nostra newsletter

Iscriviti per ricevere gli ultimi aggiornamenti, consigli gratuiti e offerte esclusive!

✖
Jason è appena diventato un membro VIP!
Diventa un membro

Offerta limitata

Approfitta dello sconto del 20% sull'abbonamento VIP!
00:00:00

Ottieni uno sconto
✖

Ricevi il segnale oggi

Un segnale aggiornato BTC/ETH dal nostro canale — gratuito.
Verifica come funziona prima di passare al VIP.

Vai al canale Telegram Niente spam — solo idee di trading.