Trust Wallets mengesahkan serangan-serangan rantaian bekalan bernilai $8.5 juta melalui kunci-kunci API Chrome yang bocor

by Admin |

Gambaran Keseluruhan

Trust Wallet mengesahkan bahawa serangan rantaian bekalan melalui kemas kini sambungan Chrome yang telah dikompromi menyebabkan kerugian kira-kira $8.5 juta. Kunci API Google Chrome Web Store yang bocor membolehkan penyerang memuat naik versi berniat jahat sambungan pelayar Trust Wallet secara terus ke Web Store rasmi, mengelakkan semakan kod dan pemeriksaan keselamatan.

Butiran Serangan

  • Tempoh serangan: 24–26 Disember 2025
  • Versi sambungan: 2.68
  • Jumlah mangsa: 2,520 alamat dompet
  • Kaedah: Kod berniat jahat disamarkan sebagai lalu lintas analitik ke domain palsu metrics-trustwallet[.]com

Analisis Teknikal

Kategori serangan rantaian bekalan: kompromi kunci. Berbanding eksploit kontrak pintar biasa, kejadian ini mensasarkan mekanisme pengedaran. Kredensial peribadi yang digunakan untuk menerbitkan sambungan telah didedahkan, membolehkan penyuntikan kod eksfiltrasi ke dalam pipeline pelepasan. Tiada kelemahan berkaitan rantai telah dieksploitasi; pengguna akhir disasarkan melalui infrastruktur yang dipercayai.

Langkah Tindak Balas

  • Kredensial API yang dikompromi ditarik balik serta-merta.
  • Dikembalikan kepada versi sambungan selamat 2.69.
  • Mengimplementasikan pengurusan kunci pelepasan yang lebih baik dan pengesahan berbilang faktor pada sistem penyebaran.
  • Ditawarkan pampasan kepada semua mangsa yang layak, menampung kerugian penuh.

Implikasi Industri

Elemen infrastruktur kritikal seperti kunci pengedaran mewakili satu titik kegagalan. Dompet berasaskan sambungan perlu mengamalkan putaran kredensial yang ketat, pemantauan akaun penerbit, dan penandatanganan kod secara luar talian untuk mengurangkan risiko serupa. Pasukan keselamatan mesti mempertimbangkan vektor rantaian bekalan dengan keutamaan yang sama seperti audit kontrak pintar.

Cadangan Pengguna

Pengguna yang memasang versi 2.68 mesti menganggapnya telah terjejas, memindahkan dana ke dompet baharu yang dijana pada peranti yang selamat, dan menjana semula frasa benih. Pengesahan versi sambungan dan kemas kini kepada v2.69 atau lebih tinggi adalah wajib. Tuntutan pampasan perlu dikemukakan melalui saluran sokongan rasmi Trust Wallet.

Komen (0)

Jadilah ahli VIP
βœ–

Sertai surat berita kami

Langgan untuk menerima kemas kini terkini, petua percuma dan tawaran eksklusif!

βœ–
Jason baru sahaja menjadi ahli VIP!
Menjadi peserta

Tawaran terhad

Dapatkan diskaun 20% untuk langganan VIP sekarang!
00:00:00

Dapatkan diskaun
βœ–

Dapatkan isyarat hari ini

Satu isyarat BTC/ETH terkini dari saluran kami β€” percuma.
Periksa bagaimana ia berfungsi sebelum beralih ke VIP.

Pergi ke saluran Telegram Tanpa spam β€” hanya idea perdagangan.