У користувачів Trust Wallet викрали близько $7 млн через помилку у розширенні браузера

Клиенты браузерного криптокошелька Trust Wallet понесли масштабные потери в результате взлома, связанного с уязвимостью в одном из обновлений. Общая сумма похищенных средств составила около $7 млн, инцидент затронул сотни адресов.

Проблема возникла после установки определенной версии браузерного расширения Trust Wallet для Google Chrome. Первые сигналы об инциденте появились после многочисленных обращений пользователей, которые сообщали о мгновенном исчезновении средств после входа или импорта seed-фразы, а транзакции шли на неизвестные адреса злоумышленников. Аналитик блокчейн-безопасности ZachXBT обратил внимание на то, что списания происходили почти одновременно и совпали по времени с недавним обновлением расширения, что указывало на возможный компрометированный релиз или supply-chain-атаку, распространенную после обновления 24 декабря. На момент публикации его оценок технический механизм атаки оставался не полностью выясненным.

В Trust Wallet подтвердили инцидент и заявили, что уязвимость касалась исключительно браузерного расширения версии 2.68. Компания рекомендовала пользователям немедленно отключить эту версию и обновиться до 2.69 через официальный магазин Chrome Web Store. В команде подчеркнули, что мобильное приложение оставалось безопасным, а другие версии браузерных расширений также не были скомпрометированы. Тем, кто еще не успел обновиться, посоветовали временно не открывать расширения, чтобы избежать дальнейших потерь.

Владелец Trust Wallet и соучредитель Binance Чанпенг Чжао подтвердил факт хакерской атаки и заявил, что компания полностью компенсирует убытки всем пострадавшим пользователям. По его словам, общий объем потерь составил около $7 млн, при этом остальные средства пользователей остаются в безопасности. Команда кошелька Trust Wallet продолжает внутреннее расследование, в частности выясняет, каким образом злоумышленникам удалось распространить проблемную версию расширения.

Инцидент произошел на фоне роста количества взломов и фишинговых атак в криптовалютном секторе. По данным компании CertiK, с начала года до начала декабря совокупные потери от кибератак в отрасли достигли почти $3,4 млрд, что уже больше, чем за весь предыдущий год. Ранее также сообщалось о случае, когда один пользователь потерял $50 млн через перевод средств на поддельный адрес. Вообще, кейс с Trust Wallet стал очередным примером рисков, связанных с обновлениями инфраструктурных криптопродуктов, даже от крупных и известных игроков рынка.

Источник: Х