Trust Wallet potwierdził, że około 7 mln dolarów w kryptowalutach zostało skradzionych przez zainfekowaną aktualizację rozszerzenia przeglądarki.
Naruszenie dotknęło wyłącznie wersję 2.68 rozszerzenia Chrome, która została wydana 24 grudnia.
Według firmy użytkownicy portfela mobilnego pozostali nietknięci.
Changpeng Zhao, założyciel Binance, właściciela Trust Wallet, powiedział, że portfel zrekompensuje straty wszystkim poszkodowanym użytkownikom.
„Jak dotąd 7 mln dolarów zostało dotkniętych tym atakiem. Trust Wallet to pokryje. Środki użytkowników są SAFU” – napisał Zhao na X.
Co się stało
Analityk blockchain ZachXBT jako pierwszy zgłosił incydent 25 grudnia, po otrzymaniu raportów o szybkim drenowaniu środków od użytkowników Trust Wallet.
Straty nastąpiły w ciągu kilku godzin od aktualizacji rozszerzenia, co sugeruje atak na łańcuch dostaw.
Firma bezpieczeństwa SlowMist przeanalizowała złośliwy kod i ustaliła, że został on wstrzyknięty bezpośrednio do kodu źródłowego Trust Wallet, a nie przez zainfekowaną bibliotekę zewnętrzną.
Backdoor zbierał zaszyfrowane frazy seed użytkowników w momencie odblokowania portfela, a następnie wysyłał te dane na domenę kontrolowaną przez atakującego, zarejestrowaną 8 grudnia.
Analiza SlowMist wskazuje, że atakujący rozpoczęli przygotowania co najmniej dwa tygodnie przed wdrożeniem złośliwej aktualizacji.
Skradzione środki obejmowały Bitcoina, Ethereum oraz aktywa na wielu sieciach blockchain.
Niektórzy użytkownicy indywidualni zgłaszali straty przekraczające 300 000 USD w ciągu minut od uzyskania dostępu do portfela.
Trust Wallet natychmiast wezwał użytkowników do wyłączenia wersji 2.68 i zaktualizowania do poprawionej wersji 2.69 poprzez oficjalny Chrome Web Store.
Read also: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Dlaczego to ważne
Incydent uwypukla utrzymujące się luki bezpieczeństwa w portfelach kryptowalutowych opartych na przeglądarce, pomimo wysiłków branży na rzecz wzmocnienia ochrony.
W przeciwieństwie do ataków wymierzonych w pojedynczych użytkowników poprzez phishing, ten atak przeniknął do oficjalnego kanału dystrybucji Trust Wallet, dotykając użytkowników przestrzegających zasad bezpieczeństwa.
Ataki na łańcuch dostaw wymierzone w infrastrukturę kryptowalut znacząco nasiliły się w 2024 r.
Firma analityczna Chainalysis zajmująca się bezpieczeństwem blockchain podała, że kradzieże kryptowalut przekroczyły 3,41 mld USD do początku grudnia, w porównaniu z 3,38 mld USD w całym 2023 r.
Naruszenie Trust Wallet stanowi drugi poważny problem bezpieczeństwa dotyczący rozszerzenia przeglądarkowego portfela.
W 2023 r. zespół bezpieczeństwa producenta portfeli sprzętowych Ledger odkrył krytyczną lukę w rozszerzeniu Chrome Trust Wallet, która zmniejszała bezpieczeństwo z 256 bitów do zaledwie 32 bitów entropii.
Dyrektor techniczny Ledgera Charles Guillemet stwierdził, że luka z 2023 r. mogła umożliwić atakującym opróżnianie portfeli bez jakiejkolwiek interakcji ze strony użytkownika.
Tę podatność zidentyfikowano i załatano, zanim doszło do masowej eksploatacji.
Najnowszy incydent podkreśla, dlaczego portfele sprzętowe, przechowujące klucze prywatne offline, pozostają najbezpieczniejszą opcją dla znacznych zasobów kryptowalut.
Rozszerzenia przeglądarkowe wymagają szerokich uprawnień systemowych i polegają na bezpieczeństwie zarówno kodu rozszerzenia, jak i komputera użytkownika, co tworzy wiele potencjalnych wektorów ataku.
Read also: SHIB Price Defies 5,000% Long-Biased Liquidation Wave