Trust Wallet potwierdza ataki w łańcuchu dostaw o wartości 8,5 mln USD, dokonane za pomocą wycieku klucza API Chrome.

by Admin |

Przegląd

Trust Wallet potwierdził, że atak w łańcuchu dostaw poprzez skompromitowaną aktualizację rozszerzenia Chrome doprowadził do strat w wysokości około 8,5 miliona dolarów. Wyciek klucza API Google Chrome Web Store umożliwił atakującym przesłanie złośliwej wersji rozszerzenia Trust Wallet bezpośrednio do oficjalnego Web Store, omijając przegląd kodu i kontrole bezpieczeństwa.

Szczegóły ataku

  • Okres ataku: 24–26 grudnia 2025
  • Wersja rozszerzenia: 2.68
  • Liczba ofiar: 2 520 adresów portfeli
  • Metoda: Złośliwy kod ukryty jako ruch analityczny do fałszywej domeny metrics-trustwallet[.]com

Analiza techniczna

Kategoria ataku z łańcucha dostaw: przejęcie kluczy. W przeciwieństwie do typowych exploitów smart kontraktów, incydent ten celował w mechanizm dystrybucji. Prywatne poświadczenia używane do publikowania rozszerzenia zostały ujawnione, umożliwiając wstrzyknięcie kodu exfiltracyjnego do pipeline'u wydawniczego. Nie wykorzystano żadnej podatności on-chain; użytkownicy końcowi byli celem poprzez zaufaną infrastrukturę.

Środki zaradcze

  • Nagłe cofnięcie skompromitowanych poświadczeń API.
  • Przywrócenie bezpiecznej wersji rozszerzenia 2.69.
  • Wzmocnione zarządzanie kluczami wydania i uwierzytelnianie wieloskładnikowe w systemach wdrożeniowych.
  • Zwrot kosztów wszystkim uprawnionym ofiarom, pokrycie pełnych strat.

Implikacje dla branży

Krytyczne elementy infrastruktury, takie jak klucze dystrybucyjne, stanowią pojedynczy punkt awarii. Portfele oparte na rozszerzeniach powinny wprowadzić rygorystyczną rotację poświadczeń, monitorowanie kont wydawców i podpisywanie kodu poza siecią, aby zminimalizować podobne ryzyko. Zespoły ds. bezpieczeństwa muszą traktować wektory łańcucha dostaw z taką samą priorytetowością jak audyty smart kontraktów.

Rekomendacje dla użytkowników

Użytkownicy, którzy zainstalowali wersję 2.68, powinni założyć, że doszło do przejęcia, przenieść środki do nowych portfeli wygenerowanych na bezpiecznym urządzeniu i ponownie wygenerować frazy seed. Weryfikacja wersji rozszerzenia i aktualizacja do v2.69 lub nowszej jest obowiązkowa. Roszczenia o zwrot kosztów należy składać za pośrednictwem oficjalnych kanałów wsparcia Trust Wallet.

Komentarze (0)

Zostań uczestnikiem VIP

Dołącz do naszego newslettera

Zapisz się, aby otrzymywać najnowsze aktualizacje, bezpłatne porady i ekskluzywne oferty!

Jason właśnie został VIP‑uczestnikiem!
Dołącz do nas

Ograniczona oferta

Zdąż zyskać 20% zniżki na subskrypcję VIP!
00:00:00

Uzyskaj zniżkę

Otrzymaj sygnał dziś

Jeden aktualny sygnał BTC/ETH z naszego kanału — za darmo.
Sprawdź, jak to działa, zanim przejdziesz do VIP.

Przejdź do kanału Telegram Bez spamu — tylko pomysły na handel.