W dniu 25 grudnia wielu użytkowników kryptowalut zgłosiło szybkie, nieautoryzowane wypłaty z ich rozszerzenia przeglądarki Trust Wallet, co spowodowało natychmiastowe ostrzeżenie społeczności. Początkowe raporty pojawiły się przez śledczego on-chain ZachXBT, który wskazał setki skompromitowanych adresów na łańcuchach zgodnych z EVM, Bitcoinem i Solaną w ciągu dwugodzinnego okna. Nagły wzrost zgłoszonych strat — początkowo szacowanych na ponad 6 milionów dolarów — wywołał pilne ostrzeżenia na Telegramie i X, wzywające wszystkich użytkowników do cofnięcia zgód i wypłaty środków.
Badacze społeczności szybko zidentyfikowali wersję 2.68 rozszerzenia Chrome Trust Wallet jako wspólny mianownik. Analiza plików JavaScript rozszerzenia ujawniła niewyjaśnione dodatki w „4482.js”, które nie były wymienione w oficjalnych notach wydania. Podejrzane fragmenty kodu, maskujące się jako funkcje analityczne, były w rzeczywistości zdolne do przechwytywania fraz seed, przekazywania ich do metrics-trustwallet[.]com, a następnie automatycznego opróżniania portfeli po imporcie frazy. Złośliwe ładunki aktywowały się tylko dla zdarzeń importu portfela, unikając wczesnego wykrycia.
Następująca analiza śledzenia łańcucha wykazała ponad 6 milionów dolarów w skradzionych aktywach, kierowanych przez prywatne miksery i usługi obfuskacji, podkreślając zamiar atakujących szybkie pranie funduszy. Adresy poszkodowanych obejmowały konta multisig wewnętrznych osób, portfele o wysokiej wartości oraz małych detalicznych inwestorów, co uwydatnia podatność portfeli opartych na przeglądarce na ataki łańcuchów dostaw. Transakcje peeling z głównych mikserów, takich jak Tornado Cash i Wasabi Wallet, były również obserwowane, co wskazuje na skoordynowane strategie prania pieniędzy.
Po publicznej krytyce Trust Wallet wydało oficjalne ostrzeżenie potwierdzające incydent bezpieczeństwa dotyczącą wyłącznie wersji rozszerzenia 2.68. Ostrzeżenie zalecało natychmiastowe wyłączenie rozszerzenia, aktualizację do wersji 2.69 z oficjalnego Chrome Web Store oraz unikanie importu fraz seed do środowisk przeglądarkowych. Użytkownicy mobilni i nie-Chrome nie zostali dotknięci. Trust Wallet podkreśliło, że wyciek nie naruszył jej rdzenia aplikacji mobilnej ani inteligentnych kontraktów na łańcuchu.
Incydent ponownie rozpętał debatę na temat ryzyka samodzielnego przechowywania kluczy i bezpieczeństwa operacyjnego. Eksperci podkreślili, że środowiska zarządzania kluczami są tak samo kluczowe jak protokoły kryptograficzne i że integralność łańcucha dostaw musi być egzekwowana zarówno przez dostawców portfeli, jak i rynki przeglądarek. Jako natychmiastowe środki ostrożności naukowcy ds. bezpieczeństwa doradzili poszkodowanym użytkownikom migrację pozostałych aktywów do świeżych portfeli utworzonych na bezpiecznych, odizolowanych urządzeniach, cofnięcie wszystkich zgód dApps i monitorowanie aktywności sieci pod kątem podejrzanych interakcji.
W następstwie ataku rośnie apel o standaryzowane sprawdzanie rozszerzeń, przejrzyste dzienniki zmian i niezależne audyty. Firmy zajmujące się bezpieczeństwem łańcucha bloków i grupy audytorów open-source współpracują nad narzędziami do wykrywania anormalnego kodu po stronie klienta w popularnych rozszerzeniach portfeli. Na razie incydent Trust Wallet stoi jako godny przykład tego, jak podatności łańcucha dostaw mogą podważyć obietnicę samodzielnej kontroli aktywów, skłaniając społeczność do priorytetowego traktowania bezpieczeństwa end-to-end w projektowaniu i dystrybucji portfeli.
Komentarze (0)