Photo: Ledger.com
Клиенты браузерного криптокошелька Trust Wallet понесли масштабные потери в результате взлома, связанного с уязвимостью в одном из обновлений. Общая сумма похищенных средств составила около $7 млн, инцидент затронул сотни адресов, на текущее время пострадало 2956 кошельков.
Проблема возникла после установки определенной версии браузерного расширения Trust Wallet для Google Chrome. Первые сигналы об инциденте появились после многочисленных обращений пользователей, которые сообщали о мгновенном исчезновении средств после входа или импорта seed-фразы, а транзакции шли на неизвестные адреса злоумышленников. Аналитик блокчейн-безопасности ZachXBT обратил внимание на то, что списания происходили почти одновременно и совпали по времени с недавним обновлением расширения, что указывало на возможный компрометированный релиз или supply-chain-атаку, распространенную после обновления 24 декабря. На момент публикации его оценок технический механизм атаки оставался не полностью выясненным.
В Trust Wallet подтвердили инцидент и заявили, что уязвимость касалась исключительно браузерного расширения версии 2.68. Компания рекомендовала пользователям немедленно отключить эту версию и обновиться до 2.69 через официальный магазин Chrome Web Store. В команде подчеркнули, что мобильное приложение оставалось безопасным, а другие версии браузерных расширений также не были скомпрометированы. Тем, кто еще не успел обновиться, посоветовали временно не открывать расширения, чтобы избежать дальнейших потерь.
Владелец Trust Wallet и соучредитель Binance Чанпенг Чжао подтвердил факт хакерской атаки и заявил, что компания полностью компенсирует убытки всем пострадавшим пользователям. По его словам, общий объем потерь составил около $7 млн, при этом остальные средства пользователей остаются в безопасности. Команда кошелька Trust Wallet продолжает внутреннее расследование, в частности выясняет, каким образом злоумышленникам удалось распространить проблемную версию расширения.
Инцидент произошел на фоне роста количества взломов и фишинговых атак в криптовалютном секторе. По данным компании CertiK, с начала года до начала декабря совокупные потери от кибератак в отрасли достигли почти $3,4 млрд, что уже больше, чем за весь предыдущий год. Ранее также сообщалось о случае, когда один пользователь потерял $50 млн через перевод средств на поддельный адрес. Вообще, кейс с Trust Wallet стал очередным примером рисков, связанных с обновлениями инфраструктурных криптопродуктов, даже от крупных и известных игроков рынка.
Источник: Х
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.