Основатель Trust Wallet и CZ обещают возместить 7 млн $ убытков в результате взлома в Рождество

Trust Wallet пообещал покрыть примерно 7 миллионов $ потерянных средств клиентов в результате эксплойта в Рождество, подтвердил его основатель Чанпэн Чжао на социальной платформе X. Внезапная утечка встревожила часть криптосообщества. Тем не менее, быстрое заверение Чжао направлено на то, чтобы успокоить и восстановить доверие к популярному самостоятельному кошельку.

Инцидент произошел 25 декабря, когда скомпрометированная версия расширения браузера Trust Wallet была использована для кражи активов из кошельков пользователей. 

Первичные расследования показывают, что злонамеренный код был активен в версии 2.68 расширения, что привело к несанкционированным переводам через несколько блокчейнов, включая блокчейн Ethereum, Bitcoin и Solana. В течение нескольких часов данные на цепочке показали, что средства переводились на неизвестные адреса, а потери быстро приблизились к 7 миллионам $.

В посте на X в пятницу Чжао подчеркнул, что "средства пользователей SAFU", используя популярную аббревиатуру криптоиндустрии для Secure Asset Fund for Users. Он заявил, что Trust Wallet возместит пострадавшим пользователям их потери. Команда продолжает расследование того, как именно атакующим удалось загрузить и распространить скомпрометированное расширение.

Провайдер кошелька также описал утечку как ограниченную только расширением браузера. Trust Wallet призвал пользователей немедленно отключить скомпрометированную версию и обновиться до исправленной версии 2.69, доступной через официальный магазин Chrome Web Store.

Сообщается, что пользователи мобильного приложения и те, кто использует другие версии расширений, не пострадали.

Как происходил эксплойт Trust Wallet

Исследователи безопасности и аналитики данных на цепочке начали восстанавливать хронологию атаки. Начальные признаки подготовки со стороны злоумышленников датируются началом декабря, согласно компании по кибербезопасности SlowMist. Их отчет указывает, что злонамеренный код был встроен в сборку расширения до его запуска, что предполагает тщательно спланированный эксплойт, а не простую автоматизированную атаку.

После запуска в Рождество скомпрометированное расширение собирало конфиденциальные данные пользователей, включая мнемонические слова, и передавало их на удаленный сервер, контролируемый атакующими. Жертвы, которые импортировали мнемоническое слово в расширение, видели, как их кошельки опустошались в течение нескольких минут, даже если они следовали общим практикам безопасности.

В криптосообществе следователи на цепочке отметили сотни кошельков, затронутых утечкой. Быстрое движение активов через сервисы смешивания усложнило усилия по отслеживанию украденных средств, что сделало возврат активов сложным.

Более широкий рынок почувствовал шок от новостей, пришедших в то время, когда цены на криптовалюту уже находились под давлением. Несмотря на относительно скромный размер потерь по сравнению с массовыми взломами бирж в этом году, инцидент привлек новое внимание к инфраструктуре кошельков на основе браузера и безопасности цепочки поставок.

Тем временем, публичное обещание Чжао покрыть потери было направлено на то, чтобы заверить пользователей, что инцидент не приведет к личным финансовым потерям. Его сообщение подчеркнуло, что пострадавшие средства будут возмещены из резервов Trust Wallet, и что проблема, похоже, ограничена скомпрометированным расширением.

Некоторые наблюдатели отрасли поставили под вопрос то, как злонамеренная версия прошла проверку безопасности и была распространена через официальные каналы.

Есть ранние предположения, что утечка может включать компрометацию цепочки поставок или даже внутреннюю информацию, учитывая, как измененный код смог попасть в официальный выпуск. Эти предположения вызвали дебаты на форумах и социальных платформах, при этом некоторые пользователи высказывали опасения по поводу внутреннего контроля и процессов рассмотрения вручную.

Trust Wallet отреагировал, отдав приоритет выпуску исправленного расширения и попросив пользователей немедленно обновиться. Также было рекомендовано, чтобы пострадавшие сгенерировали новые мнемонические слова и перевели активы в безопасные среды.

Пост Основатель Trust Wallet, CZ обещает вернуть 7 миллионов $ потерянных в результате взлома в Рождество впервые появился на Technext.