Viulazzioni di sigurezza di lestensioni dû navigaturi Trust Wallet drenanu 7 milioni di dollari di lutenti

Panoramica dû Incidènti

Ntô 26 di Dicèmmiru 2025, surgìru rapporti di ritiri massivi senza permessi dâ estensione Chrome dû Trust Wallet, versione 2.68. Ntô cursu di un aggiornamentu rutinariu, li attaccanti misiru n codice maliziosu ntâ estensione ca silenziosamente pigghiau frasi seed e chiavi private. Li vittimi riportàrunu spustamenti improvvisi di fondi supra diversi cateni, cu na analisi iniziali on-chain ca indicà perduti di circa 7 milioni di dollari.

Vetturi di Attaccu e Cronologia

• 24 di Dicèmmiru 2025: Versioni 2.68 rilàsciata attravirsu Chrome Web Store.
• 26 di Dicèmmiru 2025, 00:15 UTC: L'investigaturi di blockchain ZachXBT allerta la cumunità dopu aviri osservatu movimenti di fondi rapidì di diversi portafogghi.
• 26 di Dicèmmiru 2025, 02:00 UTC: PeckShield cunferma ca li sustratti superanu $6 milioni, cu circa 40% di l'asset rubbatu lavuratu attraversu scambi centralizzati.
• 26 di Dicèmmiru 2025, 04:30 UTC: Trust Wallet rilascia n'avvisu pî disabilitari la versiuni 2.68 e pî aggiornari a la versiuni patchata 2.69.
• 26 di Dicèmmiru 2025, 07:42 UTC: Trust Wallet cunferma perduti totali di circa $7 milioni e prometti risarcimentu cumpletu pî tutti l'utenti.

Analisi Tecnica

Li attaccanti intrecciaru na backdoor nna catina di fornimentu injiettannu strumentazzioni PostHog JS ntê script principali di l'estensione. Chistu permittì l'esfiltrazzioni ntâ tempu reali di frasi seed decrittati e di materiali di chiavi private a na puntu maliziosa. L'aggregazzioni on-chain revela ca li asset rubbati foru spartuti tra Bitcoin, Ethereum, Solana e àutri token compatìbbili cu EVM, cu li proventi raggruppati nta nu picca di indirizzi di ritiru prima di la distribuzzioni a scambi pî cunversioni in valuta fiat.

Mitigazzioni e Risposta

Trust Wallet rilasciò la versione 2.69, ca rimòviu u codice maliziosu e rotò firmaturi criticcati usati ntâ aggiornamenti di l’estensione. Li utenti affèttati foru urtati a revocari i permessi dâ estensione, trasfiriri li asset rimanenti a wallet nuòvi e attivarisi l'autenticazzioni a dù fatturi unni è dispunìbbili. Lu fundaturi di Binance, Changpeng Zhao (CZ), garantì publicamenti lu rimborso sutta lu fund SAFU. Firme di sigurezza indipendenti stannu auditannu lu codice-pagliàutu e monitorannu pi vulnerabilità residua.

Implicazzioni Cchiù Granni

Stu incidènti sottolinea lu risicu cchiù elevatu attornu a l'estensioni di wallet basati supra u navigaturi. A differenza di hardware o clienti desktop puri, li estensioni di browser restanu vulnerabili; l'utenti dovissiru cunsidarari soluzioni hardware o multi-sig pi granni posizioni di ssorta.

Punti Chi si Pèrrunu

1. Na compromissioni di la catina di fornimentu pò nniietiri codice maliziosu direttu nti aggiornamenti legitimi di software.
2. Na avvisìa rapida e rilascio di patch, accumpagnati di garanzi pubbichi di risarcimentu, sunnu essenziali ppi cuntrullari li danni.
3. Li ambienti di estensioni di browser restanu vulnerabili; l'utenti dovissiru cunsidarari soluzioni hardware o multi-sig pi granni posizioni di ssorta.