ZachXBT попереджає: Trust Wallet виявлено серйозну уразливість, офіційна публікація підтверджує та оновлення завершено

Trust Wallet розширення 2.68 після оновлення спричинило системний крадіжку, сотні користувачів миттєво втратили активи, офіційно підтверджено та терміново виправлено вразливість.

Зовнішні аномальні перекази з’явилися, ZachXBT зазначив, що після оновлення кошти миттєво зникли

Відомий дослідник блокчейну ZachXBT нещодавно попередив у соцмережах та Telegram-каналі, що кілька користувачів Trust Wallet повідомили про несанкціоновані перекази коштів у короткий час, і більшість випадків трапилися незабаром після оновлення розширення для Chrome. За повідомленнями, користувачі після імпорту мнемонічної фрази у нову версію розширення майже одразу втратили активи, без ознак поетапних або затриманих переказів.

Джерело: ZachXBT ZachXBT попередив у Telegram-каналі, що кілька користувачів Trust Wallet повідомили про несанкціоновані перекази коштів у короткий час

ZachXBT зазначив, що за даними блокчейну, кошти зловмисників переказувалися між високоякісними гаманцями з високою схожістю моделей транзакцій, що свідчить не про помилки окремих користувачів, а про використання системної вразливості. Аномальна активність зосереджена у кілька годин після запуску версії розширення 2.68.0, часові рамки дуже збігаються.

Мульти-ланцюгові активи одночасно витікають, оцінки збитків на блокчейні вже сягають кількох мільйонів доларів

За даними блокчейну, постраждалі активи охоплюють кілька блокчейнів, включаючи Bitcoin, Ethereum, BNB Chain та Solana. ZachXBT оприлюднив кілька підозрілих адрес, що отримують крадені кошти, які за короткий час переказувалися на кілька проміжних гаманців і далі розподілялися, структура переказів у різних випадках дуже схожа.

За доступними публічними даними, вже підтверджено виведення активів на суму щонайменше близько 4,3 мільйонів доларів, деякі японські ЗМІ та дослідники вважають, що з урахуванням ще не розкритих випадків загальні збитки можуть сягати 6 мільйонів доларів, кількість постраждалих — сотні людей. Варто зазначити, що всі перекази виконувалися миттєво, без тестових малих транзакцій, що свідчить про високий рівень контролю з боку зловмисників над процесом і вразливістю.

Trust Wallet підтвердив інцидент безпеки, обмеживши його вплив до конкретної версії

Після інциденту Trust Wallet опублікував офіційну заяву, що підтверджує, що цей інцидент торкнувся лише версії розширення для Chrome 2.68 і не є загальною проблемою для всієї системи гаманця або мобільних додатків. Офіційно повідомляється, що терміново випущено версію 2.69, і закликає користувачів, які ще використовують 2.68, негайно відключити розширення і оновити його.

Джерело: X/@TrustWallet Trust Wallet опублікував офіційну заяву, що підтверджує, що цей інцидент торкнувся лише версії розширення для Chrome 2.68

Trust Wallet підкреслює, що користувачі мобільного додатку та інші версії браузерів не постраждали, команда продовжує внутрішнє розслідування та аналіз вразливостей, і обіцяє оновлювати інформацію по мірі отримання нових даних. Однак, станом на зараз, офіційно не оголошено конкретних планів щодо компенсацій або механізмів повернення коштів.

Ризик недовіреного гаманця знову, безпека розширень стає сліпою зоною індустрії

Trust Wallet — це нерозподілений гаманець, що належить екосистемі Binance, з моделлю безпеки «користувач сам контролює приватний ключ». Однак цей інцидент знову підкреслює, що навіть якщо приватний ключ не залишає пристрій користувача, сам браузерний розширювач може стати точкою входу для атаки.

Кілька дослідників безпеки зазначили, що середовище браузера включає сторонні компоненти, механізми оновлення та управління дозволами, і якщо у коді розширення з’явиться вразливість, це може обійти захисні механізми користувача щодо збереження приватного ключа. ZachXBT також закликає, що якщо вразливість походить від офіційного коду, платформа має взяти на себе відповідальність і забезпечити компенсацію, інакше довіра до нерозподілених гаманців може зазнати довгострокових негативних наслідків.