Trust Wallet ha confermato che circa 7 milioni di dollari in criptovalute sono stati stolen through a compromised browser extension update.
La violazione ha affected solo la versione 2.68 dell'estensione Chrome, released il 24 dicembre.
Secondo l'azienda, gli utenti del wallet mobile non sono stati interessati.
Changpeng Zhao, fondatore di Binance, che possiede Trust Wallet, ha dichiarato che il wallet compenserà tutti gli utenti colpiti.
«Finora, 7 milioni di dollari sono stati interessati da questo hack. Trust Wallet coprirà. I fondi degli utenti sono SAFU», ha scritto Zhao su X.
Cosa è successo
L'investigatore blockchain ZachXBT ha segnalato per primo l'incidente il 25 dicembre, dopo aver ricevuto segnalazioni di rapidi svuotamenti di fondi da parte di utenti Trust Wallet.
Le perdite si sono verificate nel giro di poche ore dall'aggiornamento dell'estensione, suggerendo un compromesso della supply chain.
La società di sicurezza SlowMist ha analizzato il codice malevolo e ha scoperto che era stato iniettato direttamente nel codice sorgente di Trust Wallet, e non tramite una libreria di terze parti compromessa.
Il codice backdoor raccoglieva le seed phrase cifrate degli utenti quando i wallet venivano sbloccati, quindi sent i dati a un dominio controllato dagli aggressori, registrato l'8 dicembre.
L'analisi di SlowMist indica che gli attaccanti hanno iniziato i preparativi almeno due settimane prima della distribuzione dell'aggiornamento malevolo.
I fondi rubati includevano Bitcoin, Ethereum e asset su più reti blockchain.
Alcuni singoli utenti hanno riportato perdite superiori a 300.000 dollari nel giro di pochi minuti dall'accesso al wallet.
Trust Wallet ha immediatamente invitato gli utenti a disabilitare la versione 2.68 e ad aggiornare alla versione corretta 2.69 tramite il Chrome Web Store ufficiale.
Read also: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Perché è importante
L'incidente evidenzia le persistenti vulnerabilità di sicurezza dei wallet di criptovalute basati su browser, nonostante gli sforzi del settore per rafforzare le protezioni.
A differenza dei compromessi che prendono di mira singoli utenti tramite phishing, questo attacco ha infiltrato il canale di distribuzione ufficiale di Trust Wallet, colpendo utenti che seguivano pratiche di sicurezza corrette.
Gli attacchi alla supply chain contro l'infrastruttura delle criptovalute sono aumentati drasticamente nel 2024.
La società di sicurezza blockchain Chainalysis ha reported che i furti di criptovalute hanno superato i 3,41 miliardi di dollari fino ai primi di dicembre, rispetto ai 3,38 miliardi dell'intero 2023.
La violazione di Trust Wallet rappresenta il secondo grande problema di sicurezza per l'estensione del browser del wallet.
Nel 2023, il team di sicurezza del produttore di hardware wallet Ledger ha scoperto una vulnerabilità critica nell'estensione Chrome di Trust Wallet che riduceva la sicurezza da 256 bit a soli 32 bit di entropia.
Il direttore tecnico di Ledger, Charles Guillemet, ha affermato che il difetto del 2023 avrebbe potuto consentire agli aggressori di svuotare i wallet senza alcuna interazione da parte degli utenti.
Quella vulnerabilità è stata individuata e corretta prima che si verificasse un utilizzo su larga scala.
L'ultimo incidente ribadisce perché gli hardware wallet, che conservano le chiavi private offline, restano l'opzione più sicura per grandi quantità di criptovalute.
Le estensioni del browser richiedono ampie autorizzazioni di sistema e dipendono dalla sicurezza sia del codice dell'estensione sia del computer dell'utente, creando molteplici potenziali vettori di attacco.
Read also: SHIB Price Defies 5,000% Long-Biased Liquidation Wave