Trust Wallet столкнулся с волной мошеннических заявлений после взлома расширения Chrome на 7 000 000 $

Генеральный директор Eowyn Chen сообщила в понедельник, что Trust Wallet выявил 2 596 скомпрометированных адресов кошельков в результате взлома 24 декабря. Однако компания получила почти 5 000 претензий на возмещение — расхождение, которое указывает на масштабные мошеннические заявки.

"В связи с этим точная проверка владения кошельками имеет решающее значение для обеспечения возврата средств нужным людям," — заявила Chen. "Наша команда усердно работает над проверкой претензий; объединяя множество точек данных для разграничения законных жертв от злоумышленников."

Огромный разрыв между фактическими жертвами и общим количеством претензий вынудил Trust Wallet отказаться от скорости в пользу точности, что стало значительным операционным поворотом в одном из самых заметных инцидентов безопасности криптовалют в этом году.

Как происходила атака

Взлом начался, когда злоумышленники получили утекший API ключ Chrome Web Store, что позволило им обойти внутренние проверки безопасности Trust Wallet. 24 декабря в 12:32 UTC скомпрометированная версия 2.68 расширения Chrome вышла в официальном магазине Google.

Согласно анализу компании по безопасности блокчейна SlowMist, вредоносный код был тщательно скрыт внутри модифицированной библиотеки аналитики под названием posthog-js. Когда пользователи разблокировали свои кошельки, код тайно извлекал их seed-фразы — мастер-ключи к криптовалютным кошелькам — и отправлял их на сервер, контролируемый злоумышленниками.

Домен, используемый для сбора украденных данных, "api.metrics-trustwallet.com", был зарегистрирован 8 декабря, что свидетельствует о том, что атака планировалась как минимум за две недели. Исследователь криптовалют ZachXBT впервые выявил проблему в Рождество после того, как сотни пользователей сообщили об опустошенных кошельках.

Источник: @EowynChen

Trust Wallet выпустил исправленную версию 2.69 25 декабря. Взлом затронул только пользователей расширения Chrome, которые вошли в систему до 26 декабря в 11:00 UTC. Пользователи мобильного приложения и других версий браузеров остались в безопасности.

Вопрос об инсайдерах

Множество представителей индустрии выразили обеспокоенность потенциальным участием инсайдеров в атаке. Сооснователь Binance Чанпэн Чжао, компания которого владеет Trust Wallet, заявил, что эксплойт "скорее всего" был осуществлен инсайдером, хотя он не предоставил дополнительных доказательств.

Сооснователь SlowMist Юй Сянь отметил, что злоумышленник продемонстрировал детальное знание исходного кода расширения и подготовил инфраструктуру за несколько недель до совершения кражи. Способность получить и неправомерно использовать API ключ Chrome Web Store указывает либо на скомпрометированные устройства разработчиков, либо на украденные разрешения на развертывание.

Chen подтвердила, что компания проводит более широкое криминалистическое расследование параллельно с процессом компенсации, но не подтвердила, были ли задействованы инсайдеры.

Украденные средства и отмывание денег

Атака привела к убыткам в размере приблизительно 7 млн $ по нескольким криптовалютам, включая Bitcoin, Ethereum и Solana. Компания по безопасности блокчейна PeckShield отследила более 4 млн $ украденных средств, перемещающихся через централизованные биржи, такие как ChangeNOW, FixedFloat и KuCoin. Около 2,8 млн $ оставались в кошельках, контролируемых злоумышленниками, по состоянию на 26 декабря.

Быстрое перемещение средств через множество бирж и блокчейн-сетей осложнило усилия по возврату и затруднило отслеживание злоумышленников.

Процесс компенсации под пристальным вниманием

Основатель Binance Zhao обязался покрыть все проверенные убытки, заявив, что "средства пользователей в SAFU" — термин криптоиндустрии, означающий "Страховой фонд для пользователей". Однако процесс проверки стал более сложным, чем ожидалось изначально.

Trust Wallet требует от пострадавших пользователей предоставить подробную информацию через официальную форму поддержки, включая адреса электронной почты, скомпрометированные адреса кошельков, адреса злоумышленников и хэши транзакций. Компания подчеркнула, что точность теперь имеет приоритет над скоростью.

Всплеск ложных претензий подчеркивает повторяющуюся проблему в инцидентах безопасности криптовалют. Хотя прозрачность блокчейна позволяет отслеживать инциденты, связывание адресов кошельков с проверенными пользователями без централизованных записей остается сложной задачей. Это напряжение становится острым, когда на кону миллионы долларов.

Chen заявила, что команда объединяет множество методов проверки для оценки претензий, но не уточнила конкретные используемые критерии. Фаза проверки знаменует собой критическую проверку того, сможет ли Trust Wallet успешно отфильтровать мошеннические заявки, сохраняя при этом доверие среди настоящих жертв.

Предупреждение о вторичном мошенничестве

Trust Wallet выпустил срочные предупреждения о мошенниках, использующих ситуацию. Компания сообщила о наблюдении поддельных форм компенсации, распространяемых через рекламу в Telegram, выдающие себя за аккаунты поддержки и личные сообщения с запросами приватных ключей или seed-фраз.

Официальный процесс компенсации никогда не запрашивает пароли, приватные ключи или фразы восстановления. Пользователи должны подавать претензии только через проверенный портал поддержки Trust Wallet на trustwallet-support.freshdesk.com. Любое другое сообщение, утверждающее, что предлагает возмещение, следует рассматривать как мошенническое.

Эта вторичная волна мошенничества добавляет еще один уровень риска для жертв, уже имеющих дело с украденными средствами. Компания подчеркнула, что пользователи должны проверять, что все сообщения поступают из официальных каналов Trust Wallet, прежде чем предпринимать какие-либо действия.

Более широкие последствия для безопасности

Инцидент с Trust Wallet вписывается в более широкую схему атак на цепочку поставок, нацеленных на пользователей криптовалют в 2024 году. Согласно данным Chainalysis, кража криптовалют достигла 6,75 млрд $ в 2024 году, при этом компрометация личных кошельков резко возросла до 158 000 с 64 000 в предыдущем году.

Расширения браузера представляют уникальные проблемы безопасности, поскольку они работают с повышенными разрешениями и могут получать доступ к конфиденциальным данным пользователей. Одно скомпрометированное обновление может затронуть сотни тысяч пользователей в течение нескольких часов.

Инцидент также демонстрирует, как слабые процессы проверки могут превратить один взлом безопасности в множество проблем. Trust Wallet теперь должен выделить значительные ресурсы на фильтрацию ложных претензий, в то время как настоящие жертвы ждут компенсации.

Расширение Chrome для Trust Wallet имеет приблизительно один миллион пользователей согласно его официальному списку, хотя практическое воздействие зависит от того, сколько людей установили версию 2.68 и ввели конфиденциальные данные в уязвимом окне.

Путь вперед

Trust Wallet предпринял несколько шагов для предотвращения будущих инцидентов. Компания приостановила все API выпусков, чтобы заблокировать несанкционированные обновления версий на следующие две недели. Вредоносный домен, используемый для сбора украденных данных, был сообщен его регистратору и незамедлительно приостановлен.

Однако остаются вопросы о том, как злоумышленники получили API ключ Chrome Web Store и будут ли реализованы дополнительные меры безопасности. Продолжающееся криминалистическое расследование может дать ответы, но Trust Wallet не объявил о конкретных изменениях в своем процессе выпуска.

Для пользователей криптовалют инцидент усиливает важность относиться к обновлениям кошельков с крайней осторожностью. Эксперты по безопасности рекомендуют ждать подтверждения сообщества перед установкой обновлений и рассматривать аппаратные кошельки для значительных активов.

Процесс компенсации продолжается, поскольку Trust Wallet обрабатывает тысячи претензий. Способность компании точно идентифицировать законных жертв, блокируя мошеннические заявки, вероятно, повлияет на то, как другие поставщики кошельков будут обрабатывать будущие инциденты безопасности.

Проверка реальности

Взлом Trust Wallet выявляет две критические уязвимости в безопасности криптовалют: атаки на цепочку поставок могут обойти даже хорошо спроектированные системы безопасности, а процессы компенсации сами становятся целями для мошенничества. Поскольку Trust Wallet осуществляет проверку почти 5 000 претензий для 2 596 фактических жертв, инцидент служит дорогостоящим напоминанием о том, что в криптобезопасности очистка может быть такой же сложной, как и сам взлом.