Оновлення, яке спустошило гаманці

Що саме сталося під час інциденту з Trust Wallet

Крок 1: випущено нове оновлення розширення для браузера

Нове оновлення для розширення браузера Trust Wallet було випущено 24 грудня.

• Оновлення здавалося звичайним.

• Жодних серйозних попереджень про безпеку з ним не надходило.

• Користувачі встановили його через звичайний процес оновлення.

На цьому етапі нічого не здавалося підозрілим.

Крок 2: до розширення додано новий код

Після оновлення дослідники, які перевіряли файли розширення, помітили зміни у файлі JavaScript, відомому як 4482.js.

Ключове спостереження:

Це важливо, оскільки браузерні гаманці є дуже чутливими середовищами; будь-яка нова вихідна логіка створює високий ризик.

Крок 3: код маскувався під "аналітику"

Додана логіка виглядала як код аналітики або телеметрії.

Зокрема:

• Він виглядав як логіка відстеження, яка використовується звичайними SDK аналітики.

• Він не спрацьовував постійно.

• Він активувався лише за певних умов.

Такий дизайн ускладнював виявлення під час звичайного тестування.

Крок 4: умова спрацювання — імпорт seed фрази

Зворотна розробка спільноти свідчить, що логіка спрацьовувала, коли користувач імпортував seed фразу в розширення.

Чому це критично:

• Імпорт seed фрази надає гаманцю повний контроль.

• Це одноразовий момент високої цінності.

• Будь-якому шкідливому коду потрібно діяти лише один раз.

Користувачі, які використовували лише існуючі гаманці, можливо, не активували цей шлях.

Крок 5: дані гаманця надіслано зовні

Коли умова спрацювання виникла, код нібито надіслав дані на зовнішню кінцеву точку:

metrics-trustwallet[.]com

Що викликало тривогу:

• Домен дуже нагадував легітимний піддомен Trust Wallet.

• Він був зареєстрований лише кілька днів тому.

• Він не був публічно задокументований.

• Пізніше він перестав працювати.

Принаймні, це підтверджує несподівану вихідну комунікацію з розширення гаманця.

Крок 6: зловмисники діяли негайно

Невдовзі після імпорту seed фраз користувачі повідомили:

• Гаманці спустошені за лічені хвилини.

• Декілька активів швидко переміщено.

• Подальша взаємодія з користувачем не була потрібна.

Поведінка в мережі показала:

• Автоматизовані шаблони транзакцій.

• Декілька адрес призначення.

• Відсутність очевидного потоку підтвердження фішингу.

Це свідчить про те, що зловмисники вже мали достатньо доступу для підписання транзакцій.

Крок 7: кошти консолідовано через адреси

Вкрадені активи направлялися через декілька гаманців, контрольованих зловмисниками.

Чому це важливо:

• Це свідчить про координацію або скриптинг.

• Це зменшує залежність від однієї адреси.

• Це відповідає поведінці, яку можна побачити в організованих експлойтах.

Оцінки на основі відстежуваних адрес свідчать про переміщення мільйонів доларів, хоча загальні суми відрізняються.

Крок 8: домен припинив роботу

Після того, як увага зросла:

• Підозрілий домен перестав відповідати.

• Жодних публічних пояснень не надійшло одразу.

• Скріншоти та кешовані докази стали вирішальними.

Це узгоджується з тим, що зловмисники знищують інфраструктуру після викриття.

Крок 9: офіційне визнання надійшло пізніше

Trust Wallet пізніше підтвердив:

• Інцидент безпеки вплинув на конкретну версію розширення для браузера.

• Користувачі мобільних пристроїв не постраждали.

• Користувачі повинні оновити або вимкнути розширення.

Однак повний технічний аналіз не був наданий одразу, щоб пояснити:

• Чому домен існував.

• Чи були викриті seed фрази.

• Чи це була внутрішня, стороння чи зовнішня проблема.

Цей пробіл підживлював постійні спекуляції.

Що підтверджено

• Оновлення розширення браузера запровадило нову вихідну поведінку.

• Користувачі втратили кошти невдовзі після імпорту seed фраз.

• Інцидент обмежувався конкретною версією.

• Trust Wallet визнав проблему безпеки.

Що строго підозрюється

• Проблема ланцюга постачання або впровадження шкідливого коду.

• Викриття seed фраз або можливості підписання.

• Неправильне використання або використання логіки аналітики як зброї.

Що досі невідомо

• Чи був код навмисно шкідливим або скомпрометованим вище за потоком.

• Скільки користувачів постраждало.

• Чи були взяті будь-які інші дані.

• Точна атрибуція зловмисників.

Чому цей інцидент важливий

Це не був типовий фішинг.

Це підкреслює:

• Небезпеку розширень браузера.

• Ризик сліпої довіри до оновлень.

• Як код аналітики може бути неправильно використаний.

• Чому обробка seed фраз є найкритичнішим моментом у безпеці гаманця.

Навіть короткочасна вразливість може мати серйозні наслідки.