Trust Wallet potrjuje napade na dobavne verige v vrednosti 8,5 milijona dolarjev prek razkritih Chrome API ključev

by Admin |

Pregled

Trust Wallet je potrdil, da je napad na dobavni verigi preko kompromitirane posodobitve razširitve Chrome povzročil izgube v višini približno 8,5 milijona dolarjev. Razkritega ključa API-ja za Google Chrome Web Store je napadalcem omogočil, da naložijo zlonamerno različico razširitve brskalnika Trust Wallet neposredno v uradni Chrome Web Store, s čimer so se izognili pregledu kode in varnostnim preverjanjem.

Podrobnosti napada

  • Obdobje napada: 24.12.–26.12.2025
  • Razširitvena različica: 2.68
  • Število žrtev: 2.520 naslovov denarnic
  • Metoda: zlonamerna koda preoblečena kot analitični promet do lažne domene metrics-trustwallet[.]com

Tehnična analiza

Kategorija napada na dobavni verigi: kompromitacija ključev. Za razliko od običajnih izkoriščanj pametnih pogodb je ta incident ciljal distribucijski mehanizem. Zasebne poverilnice, uporabljene za objavo razširitve, so bile izpostavljene, kar je omogočilo vstavljanje kode za iznos podatkov v potek izdaje. Nobena ranljivost na verigi ni bila izkoriščena; končni uporabniki so bili ciljani preko zaupanja vredne infrastrukture.

Ukrepi za odziv

  • Kompromitirane API poverilnice so bile takoj preklicane.
  • Vrnili smo se na varno različico razširitve 2.69.
  • Izvedli smo izboljšano upravljanje ključev izdaje in večfaktorsko avtentikacijo na sistemih za nameščanje.
  • Ponudili smo povračilo vsem upravičenim žrtvam, ki krije celotne izgube.

Posledice za industrijo

Kritične infrastrukturne sestavine, kot so ključi za distribucijo, predstavljajo eno točko odpovedi. Denarnice, ki temeljijo na razširitvah, bi morale uvesti strogo rotacijo poverilnic, spremljanje računov založnikov ter izvenkanalno podpisovanje kode, da bi zmanjšale podobna tveganja. Varnostne ekipe morajo vektorje dobavne verige obravnavati z enako prioriteto kot revizije pametnih pogodb.

Priporočila uporabnikom

Uporabniki, ki so nameščali različico 2.68, morajo domnevati kompromitacijo, prenesti sredstva na nove denarnice, ustvarjene na varni napravi, in regenerirati seed fraze. Potrjevanje različice razširitve in posodobitev na verzijo v2.69 ali višjo je obvezno. Zahteve za povračilo je treba oddati preko uradnih podpornih kanalov Trust Wallet.

Komentarji (0)

Postanite VIP član

Pridružite se naši e-poštni naročnini

Naročite se, da boste prejemali najnovejše posodobitve, brezplačne nasvete in ekskluzivne ponudbe!

Jason je pravkar postal VIP član!
Postani član

Omejena ponudba

Izkoristite 20% popust na VIP naročnino!
00:00:00

Pridobi popust

Prejmite signal danes

En enaktualen signal BTC/ETH iz našega kanala — brezplačno.
Preverite, kako deluje, preden se pridružite VIP.

Pojdi na Telegram kanal Brez vsiljivih sporočil — samo trgovinske ideje.