- Rozszerzenie Trust Wallet w wersji 2.68 jest powiązane z podejrzeniem naruszenia łańcucha dostaw po aktualizacji z 24 grudnia.
- Użytkownicy zgłaszali wyczerpanie portfela po zaimportowaniu fraz seed; straty szacowane powyżej 6 milionów dolarów.
- Trust Wallet potwierdził problem, zalecił aktualizację do wersji 2.69; Aplikacje mobilne nie zostały dotknięte.
Kwestie bezpieczeństwa pojawiły się wokół rozszerzenia przeglądarki Trust Wallet po doniesieniach związanych z niedawną aktualizacją o możliwym nieautoryzowanym dostępie i wyczerpaniu portfela, co wywołało ostrzeżenia od badaczy blockchain i deweloperów zorientowanych na bezpieczeństwo. Incydent zwrócił uwagę na wersję 2.68 rozszerzenia, którą później potwierdził Trust Wallet.
Problem pojawił się po powiadomieniach od śledczego blockchain ZachXBT, który poinformował, że otrzymał wiadomości od setek użytkowników twierdzących, że salda ich portfeli zmniejszyły się po zaimportowaniu fraz seed do rozszerzenia przeglądarki.
Według przeglądów technicznych opublikowanych przez deweloperów, aktualizacja rozszerzenia dla przeglądarki wydana 24 grudnia mogła doprowadzić do wprowadzenia złośliwego kodu poprzez podejrzenie naruszenia łańcucha dostaw.
Badacze analizujący aktualizację twierdzą, że w rozszerzenie został wbudowany niedawno dodany plik JavaScript i najwyraźniej zamaskowany jako funkcjonalność analityczna. Zgłoszono, że plik aktywował się tylko podczas importu frazy seed, po czym przesyłał wrażliwe dane związane z portfelem na zewnętrzną domenę zaprojektowaną z oficjalną infrastrukturą Trust Wallet.
Wskaźniki możliwego naruszenia łańcucha dostaw
Zewnętrzna domena wymieniona w raportach została zarejestrowana zaledwie kilka dni przed incydentem i później zniknęła z sieci. Analitycy zauważyli, że niedawne utworzenie domeny w połączeniu z czasem aktualizacji wzbudziło obawy, że incydent może być wynikiem skoordynowanego ataku na łańcuch dostaw, a nie izolowanych prób phishingu lub błędów użytkownika.
Analiza on-chain, do której odnoszą się badacze społeczności, wykazała, że skompromitowane środki przechodziły przez kilka adresów. Według nich, ten wzorzec jest często kojarzony z automatycznymi metodami wykorzystywania. Publiczne szacunki opublikowane w internecie sugerowały, że straty mogą przekroczyć 6 milionów dolarów, chociaż te liczby nie zostały niezależnie potwierdzone.
Trust Wallet potwierdza zakres i publikuje poprawkę
Później, 25 grudnia, Trust Wallet potwierdził, że incydent bezpieczeństwa ograniczył się do rozszerzenia przeglądarki w wersji 2.68. W oświadczeniu firma zaleciła użytkownikom natychmiastowe wyłączenie tej wersji i aktualizację do wersji 2.69, która, jak stwierdzili, zawiera poprawkę. Trust Wallet dodał, że żadna inna wersja rozszerzeń przeglądarki ani żadna z jego aplikacji mobilnych nie zostały dotknięte.
Firma również oświadczyła, że jej służba wsparcia rozpoczęła kontaktowanie się z poszkodowanymi użytkownikami i prowadzi dochodzenie w sprawie incydentu. Nie podano szczegółów dotyczących technicznej przyczyny ani możliwej rekompensaty.
Powiązane: Trust Wallet przywraca salda po awarii synchronizacji danych; Fundusze są bezpieczne
Zastrzeżenie: Informacje przedstawione w tym artykule służą wyłącznie celom informacyjnym i edukacyjnym. Artykuł nie stanowi porady finansowej ani porady jakiegokolwiek rodzaju. Coin Edition nie ponosi odpowiedzialności za jakiekolwiek straty poniesione w wyniku wykorzystania treści, produktów lub usług, o których mowa. Czytelnikom zaleca się zachowanie ostrożności przed podjęciem jakichkolwiek działań związanych z firmą.
Źródło: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
