Den 25 december rapporterade flera kryptovalutabrukare snabba, obehöriga uttag från deras Trust Wallet-webbläsartillägg, vilket väckte ett omedelbart samhällsvar. Inledande rapporter framkom via on-chain-utredaren ZachXBT, som markerade hundratals komprometterade adresser över EVM-kompatibla kedjor, Bitcoin och Solana inom en tvåtimmarsperiod. Den plötsliga ökningen av rapporterade förluster—initialt uppskattade till över 6 miljoner dollar—utlöste brådskande varningar på Telegram och X, där alla användare uppmanades att återkalla godkännanden och ta ut medel.
Gemenskapsforskare identifierade snabbt Trust Wallets Chrome-tilläggsversion 2.68 som en gemensam nämnare. Utredningen av tilläggets JavaScript-filer avslöjade oförklarade tillägg i '4482.js' som saknades i officiella versionsanteckningar. Misstänkta kodsegment som maskeras som analysfunktioner kunde faktiskt fånga seedfraser, vidarebefordra dem till metrics-trustwallet[.]com och därefter tömma plånböcker automatiskt vid import av fras. Det skadliga payloadet aktiverades endast vid händelser för plånboksimport, vilket undvek tidig upptäckt.
Efterföljande kedjeanalys spårade mer än 6 miljoner dollar i stulna tillgångar som kanaliserades genom integritetsmixer och förvrängningstjänster, vilket belyser angriparnas avsikt att snabbt tvätta medlen. Offrens adresser omfattade insider-multisig-konton, högvärdiga enskilda plånböcker samt småhandlare, vilket understryker sårbarheten hos webbläsarbaserade plånböcker för leveranskedjans attacker. Transaktioner från större mixers som Tornado Cash och Wasabi Wallet observerades också, vilket tyder på koordinerade tvättstrategier.
Efter offentlig granskning utfärdade Trust Wallet en officiell rådgivning som erkände en säkerhetsincident som endast påverkade tilläggsversion 2.68. Rådgivningen rekommenderade omedelbar inaktivering av tillägget, uppgradering till version 2.69 från den officiella Chrome Web Store och undvikande av seedfras-importer i webbläsarmiljöer. Mobil- och icke-Chrome-användare uppgavs vara opåverkade. Trust Wallet betonade att intrånget inte komprometterade dess kärnmobilappen eller on-chain smarta kontrakt.
Händelsen väckte åter debatten kring riskerna med självförvaltad kontroll och operativ säkerhet. Experter upprepade att nyckelhanteringsmiljöer är lika kritiska som kryptografiska protokoll, och att leveranskedjans integritet måste upprätthållas av både plånboksleverantörer och webbläsarmarknadsplatser. Som en omedelbar försiktighetsåtgärd rådde säkerhetsforskare berörda användare att migrera kvarvarande tillgångar till färska plånböcker skapade på säkra, luftgapade enheter, återkalla alla dApp-godkännanden och övervaka nätverksaktivitet för misstänkta interaktioner.
För närvarande står Trust Wallet-incidenten som ett tydligt exempel på hur leveranskedjans sårbarheter kan underminera löftet om självständig kontroll över sina tillgångar, och uppmanar gemenskapen att prioritera end-to-end-säkerhet i plånboksdesign och distribution.
Kommentarer (0)