Trust Wallet bekrÀftar en leveranskedjeattack vÀrd 8,5 miljoner dollar via en lÀckt Chrome API-nyckel

by Admin |

Översikt

Trust Wallet har bekrÀftat att ett försörjningskedjeangrepp genom en komprometterad uppdatering av Chrome-tillÀgget resulterade i förluster pÄ cirka $8,5 miljoner. En lÀckt API-nyckel för Google Chrome Web Store tillÀt angripare att ladda upp en skadlig version av Trust Wallets webblÀsartillÀgg direkt till den officiella Web Store, vilket kringgick kodgranskning och sÀkerhetskontroller.

Angreppets detaljer

  • Angreppets period: 24–26 december 2025
  • TillĂ€ggsversion: 2.68
  • Antal drabbade: 2 520 plĂ„nboksadresser
  • Metod: Skadlig kod maskerad som analytiktrafik till en falsk domĂ€n metrics-trustwallet[.]com

Teknisk analys

Försörjningskedjeattackens kategori: nyckelkompromiss. Till skillnad frÄn vanliga misstag i smarta kontrakt utnyttjades denna hÀndelse distributionsmekanismen. Privata uppgifter som anvÀndes för att publicera tillÀgget exponerades, vilket möjliggjorde injektion av exfiltrationskod i release-pipelinen. Ingen on-chain-sÄrbarhet utnyttjades; slutanvÀndare var mÄltavla via betrodd infrastruktur.

ÅtgĂ€rder

  • Omedelbart Ă„terkallade de komprometterade API-uppgifterna.
  • ÅterstĂ€lld till sĂ€krare tillĂ€ggsversion 2.69.
  • Införde förbĂ€ttrad hantering av release-nycklar och multifaktorautentisering pĂ„ distributionssystemen.
  • Erbjöd ersĂ€ttning till samtliga berĂ€ttigade drabbade, som tĂ€ckte samtliga förluster.

Industriella konsekvenser

Kritiska infrastrukturella element som distributionsnycklar utgör en enda felpunkt. TillÀggsbaserade plÄnböcker bör anta strikt rotation av behörighetsuppgifter, övervakning av publicist-konton samt kodsignering utanför ordinarie kanaler för att motverka liknande risker. SÀkerhetsteam mÄste betrakta leveranskedjans vektorer med samma prioritet som granskningar av smarta kontrakt.

AnvÀndarrÄd

AnvÀndare som installerade version 2.68 mÄste anta att deras plÄnböcker Àr komprometterade, flytta medel till nya plÄnböcker genererade pÄ en sÀker enhet och Äterskapa sina fröfraser. Verifiering av tillÀggsversion och uppdatering till v2.69 eller högre Àr obligatorisk. AnsprÄk om ersÀttning ska lÀmnas via officiella Trust Wallet-supportkanaler.

Kommentarer (0)

Bli VIP-medlem
✖

GÄ med i vÄrt nyhetsbrev

Prenumerera för att fÄ de senaste uppdateringarna, gratis tips och exklusiva erbjudanden!

✖
Jason har precis blivit VIP-medlem!
Bli medlem

BegrÀnsat erbjudande

Passa pÄ att fÄ 20 % rabatt pÄ VIP-prenumerationen!
00:00:00

FĂ„ rabatt
✖

FĂ„ en signal idag

En aktuell BTC/ETH-signal frĂ„n vĂ„r kanal — gratis.
Testa hur det fungerar innan du gÄr vidare till VIP.

GĂ„ till Telegram-kanalen Inget spam — bara handelsidĂ©er.