Ringkesan
Trust Wallet wis negesake yen serangan rantai pasokan liwat pembaruan ekstensi Chrome sing kompromi nyebabake kerugian kira-kira 8,5 yuta dolar. Siji kunci API Google Chrome Web Store sing bocor ngidini para penyerang ngunggah versi berbahaya saka ekstensi peramban Trust Wallet langsung menyang Web Store resmi, nglawan tinjauan kode lan cek keamanan.
Rincian Serangan
- Periode serangan: 24–26 Desember 2025
- Versi ekstensi: 2.68
- Jumlah korban: 2.520 alamat dompet
- Metode: kode berbahaya disamarkan minangka lalu lintas analitik menyang domain palsu metrics-trustwallet[.]com
Analisis Teknis
Kategori serangan rantai pasokan: kompromi kunci. Beda karo eksploit kontrak pintar sing umum, kedadeyan iki nargetake mekanisme distribusi. Kredensial pribadi sing digunakake kanggo nerbitake ekstensi bocor, saéngga injeksi kode eksfiltrasi menyang pipeline rilis bisa dilaksanakake. Ora ana kerentanan on-chain sing dieksploit; pangguna pungkasan ditargetake liwat infrastruktur sing dipercaya.
Langkah-Langkah Tanggap
- Kredensial API sing kompromi langsung dicabut.
- Dipulihaké menyang versi ekstensi sing aman, 2.69.
- Ningkatake manajemen kunci rilis lan autentikasi multifaktor ing sistem penyebaran.
- Nawakake ganti rugi kanggo kabeh korban sing layak, nutupi kerugian penuh.
Implikasi Industri
Elemen infrastruktur kritis kaya kunci distribusi nglambangake siji titik kegagalan. Dompet adhedhasar ekstensi kudu ngleksanakake rotasi kredensial sing ketat, ngawasi akun penerbit, lan penandatanganan kode liwat saluran luar-band kanggo ngurangi risiko sing padha. Tim keamanan kudu nimbang vektor rantai pasokan kanthi prioritas sing padha karo audit kontrak pintar.
Saran Pangguna
Pangguna sing nginstal versi 2.68 kudu nganggep wis kompromi, mindhah dana menyang dompet anyar sing digawe ing piranti sing aman, lan ngasilake maneh frasa seed. Verifikasi versi ekstensi lan nganyarke menyang v2.69 utawa luwih wajib. Klaim ganti rugi kudu diajukake liwat saluran dukungan resmi Trust Wallet.
Komentar (0)