Trust Wallet подтвердил, что примерно на $7 млн в криптовалюте было украдено через скомпрометированное обновление браузерного расширения.
Взлом затронул только версию 2.68 расширения Chrome, которая была выпущена 24 декабря.
По данным компании, пользователи мобильного кошелька не пострадали.
Чанпэн Чжао, основатель Binance, которой принадлежит Trust Wallet, заявил, что кошелёк компенсирует убытки всем пострадавшим пользователям.
«На данный момент $7 млн затронуто этим взломом. Trust Wallet всё покроет. Средства пользователей в безопасности (SAFU)», — написал Чжао в X.
Что произошло
Блокчейн‑исследователь ZachXBT первым сообщил об инциденте 25 декабря после получения жалоб на быстрый вывод средств у пользователей Trust Wallet.
Потери произошли в течение нескольких часов после обновления расширения, что указывает на компрометацию в цепочке поставок.
Компания по кибербезопасности SlowMist проанализировала вредоносный код и обнаружила, что он был внедрён напрямую в исходный код Trust Wallet, а не доставлен через взломанную стороннюю библиотеку.
Закладка собирала зашифрованные seed‑фразы пользователей при разблокировке кошелька, а затем отправляла данные на подконтролленный злоумышленникам домен, зарегистрированный 8 декабря.
Анализ SlowMist показывает, что злоумышленники начали подготовку как минимум за две недели до развёртывания вредоносного обновления.
Украденные средства включали биткоин, эфир и активы в разных блокчейнах.
Некоторые пользователи сообщили об индивидуальных потерях свыше $300 000 в течение нескольких минут после входа в кошелёк.
Trust Wallet немедленно призвал пользователей отключить версию 2.68 и обновиться до исправленной версии 2.69 через официальный Chrome Web Store.
Читайте также: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Почему это важно
Инцидент подчёркивает сохраняющиеся уязвимости безопасности браузерных криптокошельков, несмотря на усилия индустрии по усилению защиты.
В отличие от атак, нацеленных на отдельных пользователей через фишинг, в данном случае был скомпрометирован официальный канал распространения Trust Wallet, что затронуло пользователей, соблюдавших все рекомендации по безопасности.
Атаки на цепочку поставок, нацеленные на криптовалютную инфраструктуру, резко участились в 2024 году.
Блокчейн‑аналитическая компания Chainalysis сообщила, что объём украденной криптовалюты превысил $3,41 млрд к началу декабря по сравнению с $3,38 млрд за весь 2023 год.
Взлом Trust Wallet стал вторым крупным инцидентом безопасности, связанным с его браузерным расширением.
В 2023 году команда безопасности производителя аппаратных кошельков Ledger обнаружила критическую уязвимость в расширении Trust Wallet для Chrome, которая снижала уровень безопасности с 256 бит до всего 32 бит энтропии.
Технический директор Ledger Шарль Гийемет заявил, что уязвимость 2023 года могла позволить злоумышленникам опустошать кошельки без какого‑либо взаимодействия с пользователем.
Эта уязвимость была выявлена и исправлена до того, как началась масштабная эксплуатация.
Последний инцидент ещё раз показывает, почему аппаратные кошельки, хранящие приватные ключи офлайн, остаются самым безопасным вариантом для значительных криптовалютных сумм.
Браузерные расширения требуют широких системных разрешений и зависят от безопасности как кода расширения, так и компьютера пользователя, создавая множество потенциальных векторов атаки.
Читайте также: SHIB Price Defies 5,000% Long-Biased Liquidation Wave