Zespół Trust Wallet opublikował 26 grudnia raport o incydencie włamania, w wyniku którego utracono aktywa o wartości 8,5 mln dolarów.
Według oświadczenia, atak dotknął 2520 adresów. Twórcy aplikacji zobowiązali się do wypłacenia pełnej rekompensaty ofiarom.
Wyciek danych został spowodowany przez masowy atak na łańcuch dostaw Sha1-Hulud, o którym poinformowano w listopadzie. Hakerzy uzyskali wówczas dostęp do tajnych danych programistów w serwisie GitHub oraz kluczaAPI sklepu Chrome Web Store.
Wykorzystując skradzione dane, atakujący:
- Złośliwa wersja rozszerzenia (2.68) została pobrana ze sklepu Chrome Web Store, omijając wewnętrzne kontrole Trust Wallet.
- Zarejestrowaliśmy domenę metrics-trustwallet.com w celu gromadzenia poufnych danych (frazy startowe i klucze prywatne).
- Automatycznie rozsyłaj aktualizacje użytkownikom po przejściu weryfikacji Google.
Złośliwa wersja była aktywna od 24 do 26 grudnia. Po wykryciu problemu zespół wycofał rozszerzenie do bezpiecznej wersji 2.69 i usunął zagrożone klucze.
Kto został trafiony?
Luka dotyczyła tylko użytkowników rozszerzenia na komputery stacjonarne w wersji 2.68, którzy uzyskali dostęp do portfela w określonych datach. Aplikacja mobilna Trust Wallet i inne wersje rozszerzenia pozostały bezpieczne.
Analitycy zidentyfikowali 17 adresów kontrolowanych przez hakera. Łączne straty – 8,5 miliona dolarów.
„Postrzegamy ten incydent nie tylko jako ważną lekcję dla nas, ale również jako punkt zwrotny dla całej branży w kontekście ataków na łańcuchy dostaw” – oświadczył Trust Wallet.
Proces zwrotu pieniędzy
Firma rozpoczęła już współpracę z ofiarami włamania. Aby otrzymać odszkodowanie, użytkownicy muszą złożyć wniosek za pośrednictwem oficjalnego formularza wsparcia i potwierdzić prawo własności do portfela.
Trust Wallet podkreślił złożoność procesu ze względu na napływ oszustów. Otrzymano już ponad 5000 zgłoszeń na 2520 adresów, których dotyczy problem. Zespół zaapelował do użytkowników o cierpliwość i ostrożność przed phishingiem: oficjalne wsparcie nigdy nie prosi o podanie frazy startowej.
Aby zapobiec podobnym incydentom w przyszłości, projekt wzmocnił środki bezpieczeństwa, w tym audyt zależności kodu i rotację danych uwierzytelniających.
Przypomnijmy, że według SlowMist w 2025 r. kwota środków skradzionych w wyniku ataków phishingowych spadła o 83% i wyniosła 83,85 mln USD.