Trust Wallet браузер кеңейтімдері оқиғалары криптовалюталардан 6 миллион АҚШ долларынан астам қаражатдарды тартып алды

Желтоқсанның 25-інде бірнеше крипто пайдаланушылары Trust Wallet браузер кеңейтімінен тез және рұқсатсыз шығарып алулар туралы хабарлап, қауымдастыққа дереу ескерту тудырды. Алғашқы хабарламалар блокчейн-тергеуші ZachXBT арқылы пайда болды, ол EVM-үйлесімді тізбектер, Bitcoin және Solana бойынша екі сағат ішінде жүздеген компрометацияланған адресдерді белгіледі. Хабарланған шығындардың кенеттен ұлғаюы — бастапқы бағалау бойынша 6 миллион доллардан астам — Telegram және X-те шұғыл ескертулерді тудырды, барлық пайдаланушыларды рұқсаттарды кері қайтарып алуға және қаражатты шығаруға шақырды. Қауымдастық зерттеушілері Trust Wallet Chrome кеңейтімінің 2.68 нұсқасын ортақ фактор ретінде тез анықтады. Кеңейтімнің JavaScript файлдарын зерттеу барысында «4482.js» файлында ресми релиз жазбаларында жоқ түсініксіз қосымшалар анықталды. Аналитика функциялары ретінде көрінген күдікті код бөліктері шын мәнінде seed фразаларды ұрлап, оларды metrics-trustwallet[.]com-ға жолдап, фраза импортталған кезде әмияндарды автоматты түрде босатып алуға қабілетті еді. Осы зиянды жүктеме тек әмиян импортталу оқиғаларына байланысты іске қосылды, ерте анықтауға жол бермей. Одан кейінгі із-түзу талдауы 6 миллион доллардан астам ұрланған активтерді жеке құпиялағыштар және обфускация қызметтері арқылы бағытталғанын көрсетті, бұл шабуыл жасаушылардың қаражатты тез жууды көздегенін айқындады. Қираған адрес түрлері ішкі multisig есеп-шоттарынан, жоғары құнды жеке әмияндардан және шағын бөлшек саудагерлерден келді, браузерге негізделген әмияндардың жеткізілім тізбегін осал ететінін көрсетті. Ірі араластырушылардан, мысалы Tornado Cash және Wasabi Wallet-тан Peel-транзакциялар да байқалды, бұл үйлестірілген жууды көрсетеді. Қоғамдық сындардан кейін Trust Wallet ресми үндеу арқылы бұл қауіпсіздік оқиғасы тек 2.68 нұсқасына қатысты екенін растады; кеңейтімді дереу өшіру, ресми Chrome Web Store-тан 2.69 нұсқасына жаңарту және seed фразаларды браузер орталарына импорттаудан бас тарту ұсынылды. Мобильді және Chrome-ға тәуелді емес пайдаланушылар зардап шекпегені туралы хабарланды. Trust Wallet бұзылудың олардың негізгі мобильді қосымшасын немесе тізбектегі смарт-контракттарды бұзбағанын атап өтті. Оқиға self-custody қауіптері және операциялық қауіпсіздік туралы пікірталастарды қайта өршітіп жатыр. Сарапшылар кілттерді басқару орталарын криптографиялық протоколдармен теңдей маңызды екенін және жеткізілім тізбегінің тұтастығын әмиян өндірушілермен браузерлік нарықтар бірге қамтамасыз етуі тиіс екенін қайталады. Қауіпсіздік зерттеушілері зардап шеккен пайдаланушыларға қалған активтерді қауіпсіз, ауа-оқшауланған құрылғыларда жасалған жаңа әмияндарға көшіруді, барлық dApp рұқсаттарын қайтарып алуды және күдікті өзара әрекеттерге байланысты желідегі әрекеттерді бақылауды ұсынды. Осы шабуылдан кейін кеңейтімдерді тексерудің стандартталған рәсімдері, айқын өзгерістер журналдарын жариялау және тәуелсіз аудиттерді енгізу туралы үндеулер күшейді. Блокчейн қауіпсіздік компаниялары мен ашық көзді аудит ұйымдары танымал әмиян кеңейтімдеріндегі клиент жағындағы кодтағы ауытқуларды анықтайтын құралдармен жұмыс жасап жатыр. Қазірге дейін Trust Wallet оқиғасы жеткізілім тізбегінің осалдықтары өзін-өзі басқаруға уәде ететін actifтерді қауіпсіздігін қалай бұза алатынын айқын көрсететін мысал болып қала береді, қауымдастықты әмиян дизайны мен таралымында соңғы қауіпсіздікке басымдық беруге шақырады.