Trust Wallet ашық жарияланған Chrome API кілтілері арқылы 8,5 млн доллар тұратын жеткізілім тізбектері хактарын растады

by Admin |

Шолу

Trust Wallet бұзылған Chrome кеңейтімінің жаңартуы арқылы жүзеге асқан жеткізу тізбегіндегі шабуыл нәтижесінде шамамен 8,5 миллион АҚШ долларына жуық шығын болғанын растады. Ашық жарияланған Google Chrome Web Store API кілті шабуылшыларға Trust Wallet браузер кеңейтімінің зиянды нұсқасын ресми Web Store-ға тікелей жүктеуіне мүмкіндік берді, кодты қарап шығу және қауіпсіздік тексерулерін айналып өтуге себеп болды.

Шабуыл туралы мәліметтер

  • Шабуыл кезеңі: 2025 жылғы 24 — 26 желтоқсан
  • Кеңейтім нұсқасы: 2.68
  • Зақым көргендер саны: 2 520 әмиян мекенжайлары
  • Әдіс: Analytics трафигі ретінде жасанды домен metrics-trustwallet[.]com-ға бағытталған зиянды код тәсілі

Техникалық талдау

Жеткізу тізбегіндегі шабуылдың санаты: кілттің компрометациясы. Әдеттегі ақылды келісімшартқа бағытталған exploit-терден айырмасы бұл оқиға тарату механизмін мақсат етті. Кеңейтімді жариялау үшін пайдаланылған жеке куәліктер ашық болып, шығарылым құбырында эксфильтрация кодын енгізуге мүмкіндік туды. On-chain осалдықтары пайдаланылмады; соңғы пайдаланушылар сенімді инфрақұрылым арқылы нысанаға алынды.

Жауап шаралары

  • Зақымданған API рұқсатнамалары дереу қайтарылды.
  • Қауіпсіздік мақсатында кеңейтімнің 2.69 нұсқасына қайта шығарылды.
  • Релиз кілттерінің басқаруын күшейтіп, орналастыру жүйелерінде көп факторлы аутентификация енгізілді.
  • Барлық құқылы зардап шеккендерге толық шығындарды өтеу ұсынылды.

Салалық маңыздылығы

Таратылым кілттері секілді маңызды инфрақұрылым элементтері бір нүктелі осалдыққа әкелуі мүмкін. Кеңейтімге негізделген әмияндар осындай тәуекелдерді азайту үшін куәліктерді қайта айналдыруды, жарияланымшы есептерін мониторингтеуді және сыртқы кодқа қол қоюды енгізуі тиіс. Қауіпсіздік топтары жеткізу тізбегі векторларын ақылды контракт аудиттерінің тең деңгейінде жоғары приоритетпен қарастыруы керек.

Пайдаланушыға арналған ұсыныстар

2.68 нұсқасын орнатқан пайдаланушылар компрометацияланғанын болжап, қарапайым қауіпсіз құрылғыда жасалған жаңа әмияндарға қаражатты аударып, seed фразаларын қайта құруы тиіс. Кеңейтім нұсқасын тексеріп, 2.69 немесе жоғарыға жаңарту міндетті. Өтемақыға өтініштер ресми Trust Wallet қолдау арналары арқылы берілуі тиіс.

Пікірлер (0)

VIP-мүшесі болыңыз

Біздің хат тарату тізіміне қосылыңыз

Соңғы жаңартуларды, тегін кеңестер мен ерекше ұсыныстарды алу үшін жазылыңыз!

Джейсон енді ғана VIP-қатысушы болды!
Қатысушы болу

Шектеулі ұсыныс

VIP-жазылымға 20% жеңілдік алу мүмкіндігін жіберіп алмаңыз!
00:00:00

Жеңілдік алу

Бүгін сигнал алыңыз

Біздің арнадан 1 ағымдағы BTC/ETH сигналы — тегін.
VIP-ке өтер алдында қалай жұмыс істейтінін тексеріңіз.

Telegram-каналыға өту Спам алмай — тек сауда идеялары.