Trust Wallet підтвердив, що приблизно $7 млн у криптовалюті було stolen through a compromised browser extension update.
Порушення безпеки affected лише версію 2.68 розширення Chrome, яку було released 24 грудня.
Користувачі мобільного гаманця, за даними компанії, не постраждали.
Чанпен Чжао, засновник Binance, якій належить Trust Wallet, заявив, що гаманець компенсує збитки всім постраждалим користувачам.
«Наразі $7 млн постраждало від цього злому. Trust Wallet покриє. Кошти користувачів SAFU», — написав Чжао в X.
Що сталося
Блокчейн-дослідник ZachXBT першим звернув увагу на інцидент 25 грудня після отримання повідомлень про швидке виведення коштів у користувачів Trust Wallet.
Втрати відбулися протягом кількох годин після оновлення розширення, що вказує на компрометацію ланцюжка постачання.
Компанія з безпеки SlowMist проаналізувала шкідливий код і з’ясувала, що його було безпосередньо вбудовано в початковий код Trust Wallet, а не внесено через скомпрометовану сторонню бібліотеку.
Закладений «бекдор» збирав зашифровані seed-фрази користувачів під час розблокування гаманця та sent ці дані на домен, контрольований зловмисниками, зареєстрований 8 грудня.
Аналіз SlowMist свідчить, що зловмисники почали підготовку щонайменше за два тижні до розгортання шкідливого оновлення.
Серед викрадених активів були Bitcoin, Ethereum та інші токени в різних блокчейн-мережах.
Деякі окремі користувачі повідомляли про втрати понад $300 000 за лічені хвилини після доступу до гаманця.
Trust Wallet негайно закликав користувачів вимкнути версію 2.68 та оновитися до виправленої версії 2.69 через офіційний магазин Chrome Web Store.
Читайте також: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Чому це важливо
Інцидент підкреслює стійкі вразливості безпеки у браузерних криптовалютних гаманцях, попри зусилля індустрії зі зміцнення захисту.
На відміну від атак, спрямованих на окремих користувачів через фішинг, цього разу зловмисники проникли в офіційний канал розповсюдження Trust Wallet, уражаючи користувачів, які дотримувалися правильних практик безпеки.
Кількість атак на ланцюжок постачання, спрямованих на криптовалютну інфраструктуру, різко зросла у 2024 році.
Компанія з блокчейн-безпеки Chainalysis reported, що обсяги крадіжок криптовалют перевищили $3,41 млрд станом на початок грудня порівняно з $3,38 млрд за весь 2023 рік.
Інцидент із Trust Wallet став другим серйозним випадком, пов’язаним із безпекою розширення браузера цього гаманця.
У 2023 році команда безпеки виробника апаратних гаманців Ledger виявила критичну вразливість у розширенні Trust Wallet для Chrome, яка зменшувала рівень захищеності з 256 біт до лише 32 біт ентропії.
Технічний директор Ledger Шарль Гійме заявив, що вада 2023 року могла дозволити зловмисникам виводити кошти з гаманців без будь-якої взаємодії з боку користувача.
Цю вразливість було виявлено та усунуто до того, як почалася її широкомасштабна експлуатація.
Останній інцидент ще раз підтверджує, що апаратні гаманці, які зберігають приватні ключі офлайн, залишаються найнадійнішим варіантом для зберігання значних обсягів криптовалюти.
Розширення браузера потребують широких системних дозволів і залежать від безпеки як коду розширення, так і комп’ютера користувача, що створює численні потенційні вектори атаки.
Читайте також: SHIB Price Defies 5,000% Long-Biased Liquidation Wave