Trust Wallet potvrđuje hakovanje lanaca snabdevanja u iznosu od 8,5 miliona dolara putem iscurenih Chrome API ključeva

Pregled

Trust Wallet je potvrdio da je napad na lanac snabdevanja kroz kompromitovanu nadogradnju Chrome ekstenzije doveo do gubitka od otprilike 8,5 miliona dolara. Osetljivi API ključ Google Chrome Web Store-a je omogućio napadačima da otpre zlonamernu verziju Trust Wallet ekstenzije direktno na zvaničnu Web Store, zaobilazeći recenziju koda i sigurnosne provere.

Detalji napada

• Period napada: 24.12.–26.12.2025
• Verzija ekstenzije: 2.68
• Broj žrtava: 2.520 adresa novčanika
• Metod: Zlonamerni kod prikazan kao analitički saobraćaj ka lažnoj domeni metrics-trustwallet[.]com

Tehnička analiza

Kategorija napada na lanac snabdevanja: kompromitovanje ključa. Za razliku od tipičnih iskorišćenja pametnih ugovora, ovaj incident je ciljao distribucioni mehanizam. Privatne kredencijale korišćene za objavljivanje ekstenzije su otkrivene, omogućavajući ubacivanje koda za eksfiltraciju u pipeline izdavanja. Nijedna ranjivost na lancu nije iskorišćena; krajnji korisnici su ciljani putem pouzdane infrastrukture.

Mere reagovanja

• Odmah su opozvani kompromitovani API kredencijali.
• Vraćeno na sigurnu verziju ekstenzije 2.69.
• Implementirano poboljšano upravljanje ključevima izdavanja i višefaktorska autentikacija na sistemima za deployment.
• Pružena nadoknada svim podobnim žrtvama, u punom iznosu gubitaka.

Implicacije za industriju

Kritične infrastrukturne komponente poput ključeva za distribuciju predstavljaju jedinstvenu tačku neuspeha. Novčanici zasnovani na ekstenzijama treba da usvoje strogu rotaciju kredencijala, praćenje naloga izdavača i vanmrežno potpisivanje koda kako bi se ublažili slični rizici. Timovi za bezbednost moraju razmatrati vektore lanca snabdevanja sa istim prioritetom kao i revizije pametnih ugovora.

Preporuke za korisnike

Korisnici koji su instalirali verziju 2.68 moraju pretpostaviti da su kompromitovani, premestiti sredstva na nove novčanike generisane na sigurnom uređaju i ponovo generisati seed fraze. Verifikacija verzije ekstenzije i ažuriranje na verziju 2.69 ili višu su obavezni. Zahtevi za nadoknadu treba da se podnesu putem zvaničnih kanala podrške Trust Wallet-a.