- Extensia Trust Wallet versiunea 2.68 este legată de suspiciuni de compromitere a lanțului de aprovizionare după actualizarea din 24 decembrie.
- Utilizatorii au raportat golirea portofelelor după importarea seed-urilor; pierderi estimate la peste 6 milioane de dolari.
- Trust Wallet a confirmat problema, a recomandat actualizarea la versiunea 2.69; Aplicațiile mobile nu sunt afectate.
Probleme de securitate au apărut în jurul extensiei de browser Trust Wallet după rapoarte legate de o actualizare recentă cu posibil acces neautorizat și golirea portofelelor, ceea ce a generat avertismente din partea cercetătorilor blockchain și dezvoltatorilor orientați către securitate. Incidentul a atras atenția asupra versiunii 2.68 a extensiei, pe care Trust Wallet a confirmat-o ulterior.
Problema a apărut după notificările de la investigatorul blockchain ZachXBT, care a raportat că a primit mesaje de la sute de utilizatori care susțineau că soldurile portofelelor lor au scăzut după importarea frazelor seed în extensia de browser.
Conform analizelor tehnice publicate de dezvoltatori, actualizarea extensiei pentru browser, lansată pe 24 decembrie, ar fi putut duce la injectarea de cod malițios prin suspiciune de compromitere a lanțului de aprovizionare.
Cercetătorii care studiază actualizarea susțin că în extensie a fost încorporat un fișier JavaScript adăugat recent și, aparent, mascat ca funcționalitate analitică. Se raportează că fișierul se activa doar la importarea frazei seed, după care transmitea date sensibile legate de portofel către un domeniu extern, proiectat cu infrastructura oficială Trust Wallet.
Indicatori ai unei posibile compromiterii a lanțului de aprovizionare
Domeniul extern menționat în rapoarte a fost înregistrat cu doar câteva zile înainte de incident și ulterior a ieșit offline. Analiștii au remarcat că crearea recentă a domeniului în combinație cu momentul actualizării a ridicat îngrijorări că incidentul ar putea fi rezultatul unui atac coordonat asupra lanțului de aprovizionare, mai degrabă decât tentative izolate de phishing sau erori ale utilizatorului.
Analiza on-chain, la care se referă cercetătorii din comunitate, a arătat că fondurile compromise au trecut prin mai multe adrese. Potrivit acestora, acest model este adesea asociat cu metode automate de exploatare. Estimările publice, publicate pe internet, sugerau că pierderile ar putea depăși 6 milioane de dolari, deși aceste cifre nu au fost confirmate independent.
Trust Wallet confirmă amploarea și emite remediere
Ulterior, pe 25 decembrie, Trust Wallet a confirmat că incidentul de securitate s-a limitat la extensia de browser versiunea 2.68. Într-o declarație, compania a recomandat utilizatorilor să dezactiveze imediat această versiune și să actualizeze la versiunea 2.69, care, potrivit acestora, conține remediere. Trust Wallet a adăugat că nicio altă versiune a extensiilor de browser și niciuna dintre aplicațiile sale mobile nu au fost afectate.
Compania a declarat, de asemenea, că serviciul său de asistență a început să contacteze utilizatorii afectați și investighează incidentul. Nu au fost furnizate detalii despre cauza tehnică sau o posibilă compensare.
Conex: Trust Wallet restaurează soldurile după o eroare de sincronizare a datelor; Fondurile sunt în siguranță
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
Source: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
