Trust Wallet подтверждает взлом цепочки поставок на сумму $8,5 млн через утечку API-ключа Chrome

by Admin |

Обзор

Trust Wallet подтвердил, что атака по цепочке поставок через взлом обновления расширения Chrome привела к убыткам примерно на 8,5 млн долларов. Утечка ключа API Google Chrome Web Store позволила злоумышленникам загрузить вредоносную версию расширения Trust Wallet непосредственно в официальный Chrome Web Store, минуя проверку кода и меры безопасности.

Детали атаки

  • Период атаки: 24–26 декабря 2025 года
  • Версия расширения: 2.68
  • Количество пострадавших: 2 520 адресов кошельков
  • Метод: вредоносный код, маскирующийся под аналитический трафик к поддельному домену metrics-trustwallet[.]com

Технический анализ

Категория атаки цепочки поставок: компрометация ключа. В отличие от обычных эксплойтов со стороны смарт-контрактов, этот инцидент был направлен на механизм распространения. Утечка приватных учётных данных, использовавшихся для публикации расширения, позволила внедрить код вывода данных в конвейер релиза. Не было использовано никакой уязвимости на блокчейне; конечные пользователи подвергались атаке через доверенную инфраструктуру.

Меры реагирования

  • Немедленно отозвали скомпрометированные учетные данные API.
  • Откат на безопасную версию расширения 2.69.
  • Внедрено усиленное управление ключами выпуска и многофакторная аутентификация в системах развертывания.
  • Предоставлено возмещение всем подходящим пострадавшим, покрывающее полный ущерб.

Влияние на отрасль

Элементы критической инфраструктуры, такие как ключи для распространения, представляют собой единую точку отказа. Расширяемые кошельки должны внедрять строгую ротацию учётных данных, мониторинг учётных записей издателей и подпись кода вне основного конвейера выпуска, чтобы снизить подобные риски. Команды безопасности должны рассматривать векторы цепочки поставок с тем же приоритетом, что и аудиты смарт-контрактов.

Рекомендации пользователям

Пользователи, установившие версию 2.68, должны считать свои кошельки скомпрометированными, перевести средства на новые кошельки, созданные на безопасном устройстве, и заново сгенерировать seed-фразы. Обязательно проверьте версию расширения и обновитесь до версии 2.69 или выше. Заявления на возмещение следует подавать через официальные каналы поддержки Trust Wallet.

Комментарии (0)

Станьте VIP-участником

Присоединяйтесь к нашей рассылке

Подпишитесь, чтобы получать последние обновления, бесплатные советы и эксклюзивные предложения!

Джейсон только что стал VIP‑участником!
Стать участником

Ограниченное предложение

Успейте получить скидку 20% на VIP-подписку!
00:00:00

Получить скидку

Получите сигнал сегодня

Один актуальный сигнал BTC/ETH из нашего канала — бесплатно.
Проверьте, как это работает, прежде чем перейти в VIP.

Перейти в Telegram‑канал Без спама — только торговые идеи.