ZachXBT предупреждает о подозрительной проблеме с расширением Trust Wallet после того, как пользователи сообщили о списании средств

25 декабря возникли проблемы с безопасностью расширения браузера Trust Wallet после того, как блокчейн-исследователь ZachXBT обнаружил подозрительную активность, потенциально связанную с недавним обновлением, что вызвало предупреждения от разработчиков и аккаунтов, ориентированных на безопасность.

Согласно публикациям в X, проблема может быть связана с предполагаемым компрометацией цепочки поставок, внесенной в обновление расширения браузера 24 декабря. 

Недавно добавленный код в расширении может незаметно извлекать конфиденциальные данные кошелька, когда пользователи импортируют мнемоническое слово. Утверждения предполагают, что это привело к немедленному опустошению кошелька.

Утверждения о вредоносном коде Trust Wallet и извлечении данных

Разработчики, изучающие расширение, утверждают, что файл JavaScript, добавленный в обновлении, содержит логику, замаскированную под аналитику. 

Говорят, что код активируется именно тогда, когда импортируется мнемоническое слово. Затем он незаметно передает данные, связанные с кошельком, на внешний домен, созданный так, чтобы напоминать официальную инфраструктуру Trust Wallet.

Домен, упомянутый в отчетах, был зарегистрирован, как сообщается, всего несколько дней назад и с тех пор отключен. 

Исследователи утверждают, что его недавнее создание и время обновления расширения вызывают опасения по поводу скоординированной атаки на цепочку поставок, а не фишинга со стороны пользователя.

Пользователи сообщают об опустошении кошельков после импорта мнемонических слов

Многие пользователи сообщили об опустошении кошельков вскоре после импорта мнемонических слов в расширение браузера Trust Wallet. 

Публично опубликованные оценки предполагают, что могло быть потеряно более 2 000 000 $. Хотя эти цифры не были независимо подтверждены.

Аналитики указывают, что средства были направлены через несколько адресов — паттерн, более часто связанный с автоматизированной эксплуатацией, чем с изолированной ошибкой пользователя.

Масштаб, по-видимому, ограничен расширением браузера

На данном этапе нет никаких признаков того, что мобильные приложения Trust Wallet затронуты. 

Предупреждения, распространяющиеся в Интернете, сосредоточены конкретно на расширении браузера. Именно здесь механизмы обновления и зависимости от третьих сторон представляют более высокий риск цепочки поставок.

Пользователям рекомендуется не импортировать мнемонические слова в расширение браузера Trust Wallet до тех пор, пока не будут предоставлены дополнительные разъяснения.

Официального ответа от Trust Wallet пока нет

На момент написания Trust Wallet не выпустил никакого публичного ответа, разъяснения или рекомендации по безопасности в отношении этих обвинений. 

Не было ни подтверждения, ни опровержения утверждений, ни каких-либо объявлений об откате расширения или экстренном патче.

Расследование продолжается

Исследователи подчеркнули, что ситуация остается под активным расследованием. Выводы не должны делаться до тех пор, пока код расширения и связанная с ним активность в цепочке не будут полностью проверены.

В случае подтверждения инцидент будет представлять собой серьезную компрометацию цепочки поставок.

Это класс атак, который значительно отличается от фишинга или ошибок со стороны пользователя. Кроме того, исторически это приводило к быстрым масштабным потерям в криптоэкосистеме.

Заключительные мысли

• Обвинения указывают на потенциально серьезный риск цепочки поставок, затрагивающий расширения кошельков, подчеркивая, как обновления кода могут стать критическим вектором атаки в случае компрометации.
• Поскольку пока нет ответа от Trust Wallet, пользователи и исследователи вынуждены полагаться на независимое расследование, поскольку проверка инцидента продолжается.