Клієнти браузерного криптогаманця Trust Wallet зазнали масштабних втрат унаслідок зламу, пов’язаного з уразливістю в одному з оновлень. Загальна сума викрадених коштів склала близько $7 млн, інцидент торкнувся сотень адрес, на поточний час постраждало 2956 гаманців.

Проблема виникла після встановлення певної версії браузерного розширення Trust Wallet для Google Chrome. Перші сигнали про інцидент з’явилися після численних звернень користувачів, які повідомляли про миттєве зникнення коштів після входу або імпорту seed-фрази, а транзакції йшли на невідомі адреси зловмисників. Аналітик блокчейн-безпеки ZachXBT звернув увагу на те, що списання відбувалися майже одночасно та збіглися за часом з нещодавнім оновленням розширення, що вказувало на можливий компрометований реліз або supply-chain-атаку, поширену після оновлення 24 грудня. На момент публікації його оцінок технічний механізм атаки залишався не повністю з’ясованим.

У Trust Wallet підтвердили інцидент і заявили, що уразливість стосувалася виключно браузерного розширення версії 2.68. Компанія рекомендувала користувачам негайно відключити цю версію та оновитися до 2.69 через офіційний магазин Chrome Web Store. У команді наголосили, що мобільний застосунок залишався безпечним, а інші версії браузерних розширень також не були скомпрометовані. Тим, хто ще не встиг оновитися, порадили тимчасово не відкривати розширення, щоб уникнути подальших втрат.

Власник Trust Wallet і співзасновник Binance Чанпенг Чжао підтвердив факт хакерської атаки та заявив, що компанія повністю компенсує збитки всім постраждалим користувачам. За його словами, загальний обсяг втрат становив близько $7 млн, при цьому інші кошти користувачів залишаються в безпеці. Команда гаманця Trust Wallet продовжує внутрішнє розслідування, зокрема з’ясовує, яким чином зловмисникам вдалося поширити проблемну версію розширення.

Інцидент відбувся на тлі зростання кількості зламів і фішингових атак у криптовалютному секторі. За даними компанії CertiK, з початку року до початку грудня сукупні втрати від кібератак у галузі досягли майже $3,4 млрд, що вже більше, ніж за весь попередній рік. Раніше також повідомлялося про випадок, коли один користувач втратив $50 млн через переказ коштів на підроблену адресу. Взагалі, кейс із Trust Wallet став черговим прикладом ризиків, пов’язаних із оновленнями інфраструктурних криптопродуктів, навіть від великих і відомих гравців ринку.

Джерело: Х