Pada 25 Disember, beberapa pengguna mata wang kripto melaporkan pengeluaran pantas dan tidak dibenarkan daripada sambungan pelayar Trust Wallet mereka, mendorong amaran komuniti dengan segera. Laporan awal muncul melalui penyiasat on-chain, ZachXBT, yang menandakan beratus alamat yang telah dikompromi merentasi rantai EVM-sesuaian, Bitcoin, dan Solana dalam jendela dua jam. Peningkatan mendadak dalam kerugian yang dilaporkan—yang pada mulanya dianggar melebihi $6 juta—menyebabkan amaran segera di Telegram dan X, memohon semua pengguna menolak kelulusan dan mengeluarkan dana.
Penyelidik komuniti dengan cepat mengenal pasti versi Trust Wallet Chrome extension 2.68 sebagai penyebab biasa. Siasatan terhadap fail JavaScript sambungan itu mendedahkan penambahan yang tidak dijelaskan dalam"4482.js" yang tidak terdapat dalam catatan keluaran rasmi. Segmen kod mencurigakan yang disamarkan sebagai fungsi analitik sebenarnya mampu menangkap frasa benih, menghantarannya ke metrics-trustwallet[.]com, dan kemudian menguras dompet secara automatik apabila frasa diimport. Payload jahat ini hanya diaktifkan semasa acara import dompet, menghindari pengesanan awal.
Analisis susulan mengikuti rantai itu menjejaki lebih $6 juta aset yang dicuri yang disalurkan melalui mixer privasi dan perkhidmatan penyamaran, menonjolkan niat penyerang untuk mencuci dana dengan pantas. Alamat mangsa merangkumi akaun multisig dalaman, dompet individu bernilai tinggi, dan pedagang runcit kecil, menekankan kerentanan dompet berasaskan pelayar terhadap serangan rantaian bekalan. Transaksi pelepasan daripada mixer utama seperti Tornado Cash dan Wasabi Wallet juga diperhatikan, menunjukkan strategi pencucian wang yang berkoordinasi.
Selepas pemerhatian awam, Trust Wallet mengeluarkan nasihat rasmi mengakui kejadian keselamatan yang melibatkan hanya versi sambungan 2.68. Nasihat itu mencadangkan penyahaktifan segera sambungan, menaik taraf ke versi 2.69 daripada Chrome Web Store rasmi, dan mengelakkan import frasa benih ke dalam persekitaran pelayar. Pengguna mudah alih dan bukan Chrome dilaporkan tidak terjejas. Trust Wallet menekankan bahawa pelanggaran itu tidak merosakkan aplikasi mudah alih utamanya atau kontrak pintar atas-rantai.
Kejadian ini membangkitkan semula perbahasan mengenai risiko penjagaan kendiri dan keselamatan operasi. Pakar menegaskan bahawa persekitaran pengurusan kunci sama pentingnya dengan protokol kriptografi, dan integriti rantaian bekalan perlu dipertahankan oleh penyedia dompet dan juga pasar pelayar. Sebagai langkah berhati-hati segera, penyelidik keselamatan menasihatkan pengguna yang terjejas untuk memigrasi baki aset yang tinggal ke dompet baharu yang dibuat pada peranti yang selamat dan terasing daripada rangkaian (air-gapped), membatalkan semua kelulusan dApp, serta memantau aktiviti rangkaian untuk interaksi yang mencurigakan.
Selepas serangan itu, seruan untuk penapisan sambungan yang standard, log perubahan yang telus, dan audit bebas semakin lantang. Firma keselamatan blockchain dan kumpulan juruaudit sumber terbuka bekerjasama dalam membangunkan alat untuk mengesan kod sisi klien yang tidak normal dalam sambungan dompet popular. Buat masa ini, kejadian Trust Wallet berdiri sebagai contoh tegas tentang bagaimana kerentanan rantaian bekalan boleh merosakkan janji kawalan aset kendiri, mendesak komuniti untuk memprioritaskan keselamatan hujung-ke-hujung dalam reka bentuk dan pengedaran dompet.
Komen (0)