Trust Wallets confirmă atacuri în lanțuri de aprovizionare în valoare de 8,5 milioane de dolari, prin chei API Chrome scurse

by Admin |

Privire de ansamblu

Trust Wallet a confirmat că un atac în lanțul de aprovizionare printr-o actualizare compromisă a extensiei Chrome a avut ca rezultat pierderi în valoare de aproximativ 8,5 milioane de dolari. O cheie API scursă pentru Google Chrome Web Store a permis atacatorilor să încarce o versiune malițioasă a extensiei browser Trust Wallet direct în Magazinul web oficial, ocolind revizuirea codului și verificările de securitate.

Detalii despre atac

  • Perioada atacului: 24–26 decembrie 2025
  • Versiune a extensiei: 2.68
  • Număr de victime: 2.520 adrese de portofel
  • Metodă: cod malițios deghizat drept trafic de analiză către un domeniu fals metrics-trustwallet[.]com

Analiză tehnică

Categorie de atac în lanțul de aprovizionare: compromitere a cheilor. Spre deosebire de exploatările obișnuite ale contractelor inteligente, acest incident viza mecanismul de distribuție. Acreditările private folosite pentru publicarea extensiei au fost expuse, permițând injectarea unui cod de exfiltrare în pipeline-ul de lansare. Nu a fost exploatată nicio vulnerabilitate pe lanț; utilizatorii finali au fost vizați prin infrastructură de încredere.

Măsuri de răspuns

  • A fost imediat revocat setul de credentiale API compromis.
  • S-a revenit la versiunea securizată a extensiei 2.69.
  • Au fost implementate politici îmbunătățite de gestionare a cheilor de lansare și autentificare cu mai mulți factori pe sistemele de implementare.
  • Au fost oferite despăgubiri tuturor victimelor eligibile, acoperind pierderile în întregime.

Implicații pentru industrie

Elementele infrastructurii critice, cum ar fi cheile de distribuție, reprezintă un singur punct de eșec. Portofele bazate pe extensii ar trebui să adopte rotirea riguroasă a acreditărilor, monitorizarea conturilor editorilor și semnarea codului prin canale externe pentru a atenua riscuri similare. Echipele de securitate trebuie să acorde aceeași prioritate vectorilor lanțului de aprovizionare ca și auditurilor contractelor inteligente.

Recomandări pentru utilizatori

Utilizatorii care au instalat versiunea 2.68 trebuie să presupună compromis, să transfere fondurile către portofele noi generate pe un dispozitiv sigur și să regenereze frazele seed. Verificarea versiunii extensiei și actualizarea la v2.69 sau o versiune ulterioară sunt obligatorii. Cererile de despăgubire trebuie să fie depuse prin canalele oficiale de suport Trust Wallet.

Comentarii (0)

Deveniți membru VIP

Abonați-vă la newsletter-ul nostru

Abonați-vă pentru a primi cele mai recente actualizări, sfaturi gratuite și oferte exclusive!

Jason tocmai a devenit membru VIP!
Devino participant

Ofertă limitată

Profitați acum de o reducere de 20% la abonamentul VIP!
00:00:00

Obțineți o reducere

Primește semnalul astăzi

Un semnal actual BTC/ETH din canalul nostru — gratuit.
Verifică cum funcționează înainte de a trece la VIP.

Accesați canalul Telegram Fără spam — doar idei de tranzacționare.