Curenje podataka iz ekstenzija Trust Wallet za pretraživač ispraznilo je 7 miliona dolara od korisnika.

Pregled incidenta

Dana 26. decembra 2025, pojavili su se izveštaji o masovnim neovlašćenim povlačenjima sa Trust Wallet-ove Chrome ekstenzije, verzije 2.68. U roku od nekoliko sati od rutinskog ažuriranja, napadači su implementirali zlonamerni kod unutar ekstenzije koji je tiho prikupljao seed fraze i privatne ključeve. Žrtve su prijavile naglo praznjenje sredstava na više mreža, uz preliminarnu analizu na lancu koja ukazuje na gubitke od oko 7 miliona dolara.

Način napada i vremenska linija

• 24. decembar 2025. Verzija 2.68 objavljena preko Chrome Web Store-a.
• 26. decembar 2025, 00:15 UTC: Blockchain istražitelj ZachXBT upozorava zajednicu nakon uočavanja brzih pomeranja sredstava sa različitih novčanika.
• 26. decembar 2025, 02:00 UTC: PeckShield potvrđuje izvlačenje više od 6 miliona dolara, pri čemu je otprilike 40% ukradenih sredstava oprano preko centralizovanih berzi.
• 26. decembar 2025, 04:30 UTC: Trust Wallet objavljuje savjet da se verzija 2.68 onemogući i nadogradi na ispravljenu verziju 2.69.
• 26. decembar 2025, 07:42 UTC: Trust Wallet potvrđuje ukupne gubitke od približno 7 miliona dolara i obećava punu kompenzaciju korisnicima.

Tehnička analiza

Napadači su ugrađivali backdoor u lanac snabdevanja ubacivanjem PostHog JS instrumentacije u jezgro skripti ekstenzije. To je omogućilo eksfiltraciju dešifrovanih seed fraza i materijala privatnih ključeva u realnom vremenu na zlonamerenu krajnju tačku. On-chain klasterizacija otkriva da su ukradena sredstva podeljena između Bitcoina, Ethereuma, Solane i drugih tokena kompatibilnih sa EVM, pri čemu su prihodi prikupljeni u mali broj adresa pre distribucije na berze radi konverzije u fiat.

Mitigacija i odgovor

Trust Wallet je objavio verziju 2.69, koja je uklonila zlonamerni kod i zamenila kritične potpise koji se koriste prilikom ažuriranja ekstenzije. Pogođeni korisnici su podstaknuti da povuku dozvole za ekstenziju, prebace preostala sredstva na nove novčanike i omoguće dvofaktorsku autentifikaciju gde je dostupno. Osnivač Binance-a Changpeng Zhao (CZ) javno garantovao nadoknadu kroz SAFU fond. Nezavisne sigurnosne firme revidiraju kodnu bazu i prate preostale ranjivosti.

Šire implikacije

Ovaj incident naglašava povećan rizik koji okružuje proširenja novčanika zasnovana na pregledaču. Za razliku od hardverskih ili potpuno samostalnih desktop klijenata, proširenja pregledača funkcionišu unutar sigurnosnog konteksta samog pregledača, čime se povećava površina za napade. Stručnjaci preporučuju upotrebu hardverskih novčanika ili rešenja za apstrakciju naloga koja nameću kašnjenja transakcija i zahtevaju izričitu korisničku dozvolu za promene na nivou koda.

Ključne poruke

1. Kompromitovanje lanca snabdevanja može direktno da ubrizga zlonamerni kod u legitimne softverske nadogradnje.
2. Brza najava i primena zakrpa, u kombinaciji sa javnim garancijama naknade, su ključni za upravljanje štetom.
3. Okruženja sa proširenjima za pretraživač ostaju ranjiva; korisnici bi trebalo da razmotre hardverske ili multi-sig alternative za veće iznose.