Trust Wallet potwierdza włamanie do łańcucha dostaw o wartości 8,5 mln USD spowodowane wyciekiem klucza API Chrome

Trust Wallet potwierdza włamanie do łańcucha dostaw o wartości 8,5 mln USD spowodowane wyciekiem klucza API Chrome

Trust Wallet potwierdził, że złośliwa aktualizacja rozszerzenia przeglądarki wydana w okresie świąt Bożego Narodzenia była odpowiedzialna za około 8,5 miliona dolarów skradzionych środków użytkowników, oznaczając jeden z najpoważniejszych ataków na łańcuch dostaw portfela w 2025 roku.

W szczegółowej aktualizacji po incydencie firma ujawniła, że atakujący wykorzystali wyciek klucza API Google Chrome Web Store, umożliwiając im przesłanie skompromitowanej wersji rozszerzenia Trust Wallet bezpośrednio do Chrome Store bez przechodzenia przez wewnętrzny przegląd kodu lub kontrole bezpieczeństwa.

Ładowanie tweeta...

- Zobacz oryginalny post

Co się stało?

Między 24 a 26 grudnia użytkownicy, którzy zainstalowali rozszerzenie przeglądarki Trust Wallet w wersji 2.68, nieświadomie pobrali złośliwe oprogramowanie. Początkowe raporty społeczności wskazywały na podejrzane wycieki, które Trust Wallet potwierdził, że dotyczyły złośliwego kodu zaprojektowanego do eksfiltracji mnemonicznych fraz seed.

Złośliwe oprogramowanie ukrywało dane wychodzące jako rutynowy ruch analityczny wysyłany do fałszywej domeny (metrics-trustwallet.com) kontrolowanej przez atakującego. Ponieważ aktualizacja została dostarczona za pośrednictwem oficjalnego sklepu Chrome Web Store przy użyciu prawidłowych danych uwierzytelniających, ominęła typowe znaki ostrzegawcze.

Trust Wallet oświadczył, że ma "dużą pewność", że incydent jest powiązany z "Sha1-Hulud", atakiem na łańcuch dostaw w całej branży w listopadzie 2025 r., który ujawnił tajemnice programistów w wielu sektorach technologicznych. Firma uważa, że to wcześniejsze naruszenie umożliwiło atakującym dostęp do kodu źródłowego Trust Wallet i określonego klucza API potrzebnego do publikowania aktualizacji.

Skutki finansowe i reakcja

Firma zidentyfikowała 2 520 adresów portfeli dotkniętych atakiem, a łączne straty szacuje się na 8,5 miliona dolarów.

Od tego czasu Trust Wallet

• Wycofał naruszone dane uwierzytelniające i powrócił do bezpiecznej wersji (v2.69).
• Zobowiązał się do dobrowolnego zwrotu kosztów wszystkim kwalifikującym się ofiarom, co jest niezwykle silną reakcją w sektorze portfeli kryptowalutowych.
• Wdrożono nowy proces weryfikacji w celu odfiltrowania tysięcy fałszywych roszczeń.

Użytkownicy, którzy zainstalowali wersję 2.68, są zachęcani do założenia, że ich portfele są zagrożone, natychmiastowego przeniesienia środków i zregenerowania seed phrases na bezpiecznym urządzeniu.

Dlaczego to ma znaczenie

Incydent ten podkreśla krytyczne ryzyko dla całej branży: nawet jeśli kod aplikacji jest bezpieczny, kontrola nad kluczami dystrybucji może stać się pojedynczym punktem awarii.

W przeciwieństwie do tradycyjnych exploitów inteligentnych kontraktów, ten atak

• Nie wymagał podatności blockchain.
• Był skierowany bezpośrednio do użytkowników końcowych za pośrednictwem zaufanej infrastruktury (oficjalnych sklepów z aplikacjami).
• Został przeprowadzony w okresie świątecznym, kiedy monitorowanie jest zwykle mniej intensywne.

Eksperci ds. bezpieczeństwa zauważają, że wyrafinowanie ataku sugeruje wysoce zorganizowany podmiot zagrażający, budząc szersze obawy dotyczące portfeli opartych na rozszerzeniach i zarządzania kluczami wydania w całej branży.

Keep More On Every Order: 0% Maker, 0.02% Taker

Sign Up Now

Co użytkownicy powinni teraz zrobić

• Upewnić się, że wersja rozszerzenia to 2.69 lub wyższa.
• Jeśli kiedykolwiek zainstalowano wersję 2.68, należy traktować portfel jako zagrożony.
• Natychmiast przenieś środki do nowo wygenerowanego portfela.
• Zgłosić roszczenie za pośrednictwem oficjalnych kanałów wsparcia Trust Wallet.