Что именно произошло в инциденте с Trust Wallet
Шаг 1: Вышло обновление расширения для браузера
Новое обновление для браузерного расширения Trust Wallet было выпущено 24 декабря.
-
Обновление казалось обычным.
-
Никаких серьезных предупреждений о безопасности аккаунта с ним не было.
-
Пользователи установили его через стандартный процесс обновления.
На этом этапе ничего не казалось подозрительным.
Шаг 2: В расширение был добавлен новый код
После обновления исследователи, изучавшие файлы расширения, заметили изменения в файле JavaScript, известном как 4482.js.
Ключевое наблюдение:
Это важно, потому что браузерные кошельки — очень чувствительная среда; любая новая исходящая логика представляет высокий риск.
Шаг 3: Код маскировался под "аналитику"
Добавленная логика выглядела как аналитический или телеметрический код.
А именно:
-
Он выглядел как логика отслеживания, используемая обычными аналитическими SDK.
-
Он не срабатывал постоянно.
-
Он активировался только при определенных условиях.
Такая конструкция затрудняла обнаружение при обычном тестировании.
Шаг 4: Условие срабатывания — импорт мнемонического слова
Обратная разработка сообщества предполагает, что логика срабатывала, когда пользователь импортировал мнемоническое слово в расширение.
Почему это критично:
-
Импорт мнемонического слова дает кошельку полный контроль.
-
Это одноразовый момент высокой ценности.
-
Любому вредоносному коду нужно сработать только один раз.
Пользователи, которые использовали только существующие кошельки, могли не активировать этот путь.
Шаг 5: Данные кошелька были отправлены внешне
Когда условие срабатывания произошло, код предположительно отправил данные на внешнюю конечную точку:
metrics-trustwallet[.]com
Что вызвало тревогу:
-
Домен очень напоминал легитимный поддомен Trust Wallet.
-
Он был зарегистрирован всего за несколько дней до этого.
-
Он не был публично задокументирован.
-
Позже он перестал работать.
По крайней мере, это подтверждает неожиданную исходящую связь из расширения кошелька.
Шаг 6: Атакующие действовали немедленно
Вскоре после импорта мнемонического слова пользователи сообщили:
-
Кошельки были опустошены в течение нескольких минут.
-
Несколько активов были быстро перемещены.
-
Дальнейшее взаимодействие пользователя не требовалось.
Поведение в блокчейне показало:
-
Автоматизированные паттерны транзакций.
-
Несколько адресов назначения.
-
Отсутствие очевидного фишингового потока одобрения.
Это предполагает, что у атакующих уже было достаточно доступа для подписания транзакций.
Шаг 7: Средства были консолидированы по адресам
Украденные активы были направлены через несколько контролируемых атакующими кошельков.
Почему это важно:
-
Это предполагает координацию или использование скриптов.
-
Это снижает зависимость от одного адреса.
-
Это соответствует поведению, наблюдаемому в организованных эксплойтах.
Оценки на основе отслеживаемых адресов предполагают перемещение миллионов долларов, хотя общие суммы варьируются.
Шаг 8: Домен перестал работать
После увеличения внимания:
-
Подозрительный домен перестал отвечать.
-
Никаких публичных объяснений сразу не последовало.
-
Скриншоты и кэшированные доказательства стали решающими.
Это соответствует действиям атакующих по уничтожению инфраструктуры после разоблачения.
Шаг 9: Официальное признание пришло позже
Trust Wallet позже подтвердил:
-
Инцидент безопасности аккаунта затронул конкретную версию браузерного расширения.
-
Мобильные пользователи не пострадали.
-
Пользователям следует обновить или отключить расширение.
Однако полной технической разбивки сразу не было предоставлено, чтобы объяснить:
-
Почему домен существовал.
-
Были ли раскрыты мнемонические слова.
-
Была ли это внутренняя проблема, проблема третьей стороны или внешняя проблема.
Этот пробел подогрел текущие спекуляции.
Что подтверждено
-
Обновление браузерного расширения ввело новое исходящее поведение.
-
Пользователи потеряли средства вскоре после импорта мнемонических слов.
-
Инцидент был ограничен конкретной версией.
-
Trust Wallet признал проблему безопасности аккаунта.
Что сильно подозревается
-
Проблема цепочки поставок или внедрение вредоносного кода.
-
Раскрытие мнемонических слов или возможности подписания.
-
Злоупотребление или использование аналитической логики в качестве оружия.
Что все еще неизвестно
-
Был ли код преднамеренно вредоносным или скомпрометирован выше по цепочке.
-
Сколько пользователей пострадало.
-
Были ли взяты какие-либо другие данные.
-
Точная атрибуция атакующих.
Почему этот инцидент важен
Это был не типичный фишинг.
Он подчеркивает:
-
Опасность браузерных расширений.
-
Риск слепого доверия обновлениям.
-
Как аналитический код может быть использован неправильно.
-
Почему обработка мнемонических слов является наиболее критичным моментом в безопасности кошелька.
Даже кратковременная уязвимость может иметь серьезные последствия.
Источник: https://www.livebitcoinnews.com/trustwallet-hack-explained-from-update-to-wallet-drains-worth-16m-in-twt-btc-eth/
