- A extensão Trust Wallet versão 2.68 está associada a suspeitas de comprometimento da cadeia de fornecimento após atualização de 24 de dezembro.
- Os utilizadores relataram gastos da carteira após importação de seeds; perdas estimadas acima de 6 milhões de dólares.
- A Trust Wallet confirmou o problema, aconselhou atualização para versão 2.69; as aplicações móveis não foram afetadas.
Questões de segurança surgiram em torno da extensão de navegador Trust Wallet após relatos relacionados com uma atualização recente com possível acesso não autorizado e gastos da carteira, o que gerou alertas de investigadores de blockchain e programadores focados em segurança. O incidente chamou atenção para a versão 2.68 da extensão, que foi posteriormente confirmada pela Trust Wallet.
O problema surgiu após notificações do investigador de blockchain ZachXBT, que relatou ter recebido mensagens de centenas de utilizadores que alegavam que os saldos das suas carteiras diminuíram após importação de frases seed na extensão do navegador.
Segundo análises técnicas publicadas por programadores, a atualização da extensão para navegador, lançada a 24 de dezembro, poderia ter levado à implementação de código malicioso através de suspeita de comprometimento da cadeia de fornecimento.
Os investigadores que examinaram a atualização afirmam que um ficheiro JavaScript recentemente adicionado foi incorporado na extensão e aparentemente disfarçado como funcionalidade analítica. Relata-se que o ficheiro era ativado apenas durante a importação de frase seed, após o que transmitia dados sensíveis relacionados com a carteira para um domínio externo, concebido para se assemelhar à infraestrutura oficial da Trust Wallet.
Indicadores de possível comprometimento da cadeia de fornecimento
O domínio externo mencionado nos relatórios foi registado apenas alguns dias antes do incidente e posteriormente ficou offline. Os analistas notaram que a criação recente do domínio combinada com o momento da atualização levantou preocupações de que o incidente poderia ser resultado de um ataque coordenado à cadeia de fornecimento, em vez de tentativas isoladas de phishing ou erros do utilizador.
A análise on-chain referenciada por investigadores da comunidade mostrou que os fundos comprometidos passaram por vários endereços. Segundo eles, este padrão está frequentemente associado a métodos automatizados de exploração. Estimativas públicas publicadas online sugeriam que as perdas poderiam exceder 6 milhões de dólares, embora estas cifras não tenham sido confirmadas de forma independente.
Trust Wallet confirma âmbito e emite correção de problemas
Posteriormente, a 25 de dezembro, a Trust Wallet confirmou que o incidente de segurança se limitou à extensão de navegador versão 2.68. Num comunicado, a empresa recomendou aos utilizadores que desativassem imediatamente esta versão e atualizassem para a versão 2.69, que, segundo afirmaram, contém a correção. A Trust Wallet acrescentou que nenhuma outra versão das extensões de navegador e nenhuma das suas aplicações móveis foram afetadas.
A empresa também declarou que o seu serviço de apoio começou a contactar os utilizadores afetados e está a investigar o incidente. Não foram fornecidos detalhes sobre a causa técnica ou possível compensação.
Relacionado: Trust Wallet restaura saldos após falha de sincronização de dados; Fundos em segurança
Aviso Legal: As informações apresentadas neste artigo destinam-se apenas a fins informativos e educacionais. O artigo não constitui aconselhamento financeiro ou aconselhamento de qualquer tipo. A Coin Edition não é responsável por quaisquer perdas incorridas como resultado da utilização de conteúdos, produtos ou serviços mencionados. Aconselha-se os leitores a exercer cautela antes de tomar qualquer ação relacionada com a empresa.
Fonte: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
