25. decembra so številni uporabniki kriptovalut poročali o hitrih, nepooblaščenih dvigih sredstev z njihove brskalniške razširitve Trust Wallet, kar je sprožilo takojšnje opozorilo skupnosti. Prva poročila so prišla prek preiskovalca na verigi ZachXBT, ki je označil stotine ogroženih naslovov na verigah, združljivih z EVM, Bitcoinom in Solano, v dveh urah. Nenaden porast poročil o izgubah—ocenjenih na več kot 6 milijonov dolarjev—je sprožil nujna opozorila na Telegramu in X, ki pozivajo vse uporabnike, naj prekličejo odobritve in dvignejo sredstva.
Skupnostni raziskovalci so hitro identificirali različico Chrome razširitve Trust Wallet 2.68 kot skupni dejavnik. Preiskava JavaScript datotek razširitve je razkrila nerazložene dodatke v “4482.js”, ki niso bili prisotni v uradnih opisih izdaj. Sumljive kode, ki so bile prikazane kot analitične funkcije, so v resnici lahko zajemale seed fraze, jih posredovale na metrics-trustwallet[.]com in nato samodejno izpraznile denarnice ob uvozu fraz. Zlonamerna vsebina se aktivira le ob dogodkih uvoza denarnic, s čimer se izogne zgodnjemu odkrivanju.
Kasnejša analiza po verigi je sledila več kot 6 milijonov dolarjev ukradenih sredstev, usmerjenih skozi mešalnike sredstev in storitve za zameglitev identitete, kar je poudarilo namen napadalcev, da sredstva hitro izperjejo. Žrtvene naslove so vključevali notranje multisig račune, denarnice z visoko vrednostjo in male maloprodajne trgovce, kar poudarja ranljivost brskalniških denarnic pred napadi prek dobavne verige. Opazili so tudi transakcije “peel” pri večjih mešalnikih, kot sta Tornado Cash in Wasabi Wallet, kar kaže na usklajene strategije pranja sredstev.
Po javnem pregledu je Trust Wallet izdal uradno opozorilo, ki potrjuje varnostni incident, ki prizadene le razširitev verzije 2.68. Opozorilo priporoča takojšnjo onemogočitev razširitve, nadgradnjo na verzijo 2.69 iz uradnega Chrome Web Store in izogibanje uvozu seed fraz v brskalniška okolja. Poročeno je, da mobilne različice in uporabniki, ki niso na Chrome, niso bili prizadeti. Trust Wallet je poudaril, da vdor ni ogrozil njegove temeljne mobilne aplikacije ali pametnih pogodbenih kontraktov na verigi.
V luči napada so razprave o tveganjih pri lastni skrbnosti in operativni varnosti postale glasnejše. Strokovnjaki so poudarili, da so okolja za upravljanje ključev enako kritična kot kriptografski protokoli, in da integriteta dobavne verige mora biti zagotovljena tako s strani ponudnikov denarnic kot brskalniških tržnic. Kot takojšen previdnostni ukrep so varnostni raziskovalci prizadetim svetovali, naj preostala sredstva prenesejo na nove denarnice, ustvarjene na varnih napravah, ki niso povezane z omrežjem, naj prekličejo vse odobritve dApp-om in spremljajo omrežno aktivnost za sumljive interakcije.
V luči napada so pozivi k standardiziranemu preverjanju razširitev, preglednim dnevnikom sprememb in neodvisnim revizijam postali glasnejši. Podjetja za varnost blockchaina in skupine odprtokodnih revizorjev sodelujejo pri orodjih za odkrivanje nenavadne kode na strani klienta v priljubljenih razširitvah denarnic. Za zdaj primer Trust Wallet ostaja jasen dokaz, kako ranljivosti v dobavni verigi lahko podrejo obljubo popolne avtonomne kontrole nad sredstvi, zato skupnost poziva k temu, da varnost na koncu do konca postane prioriteta pri zasnovi in distribuciji denarnic.
Komentarji (0)