Trust Wallet стикається з хвилею шахрайських претензій після злому розширення Chrome на 7 мільйонів доларів

Генеральний директор Eowyn Chen повідомила в понеділок, що Trust Wallet ідентифікував 2 596 скомпрометованих адрес гаманців після злому 24 грудня. Однак компанія отримала майже 5 000 претензій на відшкодування — розбіжність, що вказує на масові шахрайські подання.

"Через це точна верифікація права власності на гаманець є критично важливою, щоб забезпечити повернення коштів правильним людям", — заявила Chen. "Наша команда старанно працює над перевіркою претензій, комбінуючи множинні точки даних, щоб відрізнити законних постраждалих від зловмисників."

Величезний розрив між фактичними постраждалими та загальною кількістю претензій змусив Trust Wallet відмовитися від швидкості на користь точності, що стало значним операційним поворотом в одному з найбільш помітних інцидентів безпеки криптовалют цього року.

Як відбулася атака

Злом почався, коли зловмисники отримали витікший API-ключ Chrome Web Store, що дозволило їм обійти внутрішні перевірки безпеки Trust Wallet. 24 грудня о 12:32 UTC скомпрометована версія 2.68 розширення Chrome з'явилася в офіційному магазині Google.

Згідно з аналізом компанії з безпеки блокчейну SlowMist, шкідливий код був ретельно прихований всередині модифікованої бібліотеки аналітики під назвою posthog-js. Коли користувачі розблоковували свої гаманці, код таємно витягував їхні seed-фрази — головні ключі до криптовалютних гаманців — і відправляв їх на сервер, контрольований зловмисниками.

Домен, використаний для збору викрадених даних, "api.metrics-trustwallet.com", був зареєстрований 8 грудня, що свідчить про те, що атака планувалася щонайменше за два тижні. Дослідник криптовалют ZachXBT вперше виявив проблему на Різдво після того, як сотні користувачів повідомили про спустошені гаманці.

Джерело: @EowynChen

Trust Wallet випустив виправлену версію 2.69 25 грудня. Злом торкнувся лише користувачів розширення Chrome, які увійшли в систему до 26 грудня о 11:00 UTC. Користувачі мобільного додатку та інших версій браузерів залишилися в безпеці.

Питання інсайдера

Численні представники індустрії висловили занепокоєння щодо потенційної участі інсайдера в атаці. Співзасновник Binance Changpeng Zhao, компанія якого володіє Trust Wallet, заявив, що експлойт "найімовірніше" був здійснений інсайдером, хоча не надав додаткових доказів.

Співзасновник SlowMist Yu Xian відзначив, що зловмисник продемонстрував детальне знання вихідного коду розширення та підготував інфраструктуру за тижні до здійснення крадіжки. Здатність отримати та зловживати API-ключем Chrome Web Store свідчить про скомпрометовані пристрої розробників або викрадені дозволи на розгортання.

Chen підтвердила, що компанія проводить ширше криміналістичне розслідування паралельно з процесом компенсації, але не підтвердила, чи були залучені інсайдери.

Викрадені кошти та відмивання грошей

Атака призвела до збитків приблизно на $7 мільйонів у різних криптовалютах, включаючи Bitcoin, Ethereum та Solana. Компанія з безпеки блокчейну PeckShield відстежила понад $4 мільйони викрадених коштів, що рухалися через централізовані біржі, такі як ChangeNOW, FixedFloat та KuCoin. Приблизно $2,8 мільйона залишалися в гаманцях, контрольованих зловмисниками, станом на 26 грудня.

Швидкий рух коштів через численні біржі та мережі блокчейнів ускладнив зусилля з відновлення та зробив відстеження зловмисників складнішим.

Процес компенсації під пильним наглядом

Засновник Binance Zhao зобов'язався покрити всі перевірені збитки, заявивши "кошти користувачів SAFU" — термін криптоіндустрії, що означає "страховий фонд для користувачів". Однак процес верифікації став складнішим, ніж очікувалося спочатку.

Trust Wallet вимагає від постраждалих користувачів подати детальну інформацію через офіційну форму підтримки, включаючи адреси електронної пошти, скомпрометовані адреси гаманців, адреси зловмисників та хеші транзакцій. Компанія підкреслила, що точність тепер має пріоритет над швидкістю.

Сплеск помилкових претензій підкреслює повторювану проблему в інцидентах безпеки криптовалют. Хоча прозорість блокчейну дозволяє відстежувати інциденти, зв'язування адрес гаманців з верифікованими користувачами без централізованих записів залишається складним. Це напруження стає гострим, коли на кону мільйони доларів.

Chen заявила, що команда комбінує кілька методів верифікації для оцінки претензій, але не уточнила конкретні критерії, що використовуються. Фаза верифікації є критичним тестом того, чи зможе Trust Wallet успішно відфільтрувати шахрайські подання, зберігаючи довіру серед справжніх постраждалих.

Попередження про вторинні шахрайства

Trust Wallet випустив термінові попередження про шахраїв, які використовують ситуацію. Компанія повідомила про фальшиві форми компенсації, що поширюються через рекламу в Telegram, підроблені акаунти підтримки та прямі повідомлення з проханнями надати приватні ключі або seed-фрази.

Офіційний процес компенсації ніколи не запитує паролі, приватні ключі або фрази відновлення. Користувачі повинні подавати претензії лише через перевірений портал підтримки Trust Wallet за адресою trustwallet-support.freshdesk.com. Будь-яке інше повідомлення, що стверджує про пропозицію відшкодування, слід вважати шахрайським.

Ця вторинна хвиля шахрайств додає ще один рівень ризику для постраждалих, які вже стикаються з викраденими коштами. Компанія наголосила, що користувачі повинні перевірити, що всі комунікації надходять з офіційних каналів Trust Wallet перед будь-якими діями.

Ширші наслідки для безпеки

Інцидент з Trust Wallet вписується в більший патерн атак ланцюга постачання, спрямованих на користувачів криптовалют у 2024 році. Згідно з даними Chainalysis, крадіжка криптовалют досягла $6,75 мільярда у 2024 році, при цьому компроміси особистих гаманців зросли до 158 000 з 64 000 у попередньому році.

Розширення браузерів представляють унікальні виклики для безпеки, оскільки вони працюють з підвищеними дозволами та можуть отримувати доступ до конфіденційних даних користувачів. Одне скомпрометоване оновлення може вплинути на сотні тисяч користувачів протягом годин.

Інцидент також демонструє, як слабкі процеси верифікації можуть перетворити одну проблему безпеки на кілька проблем. Trust Wallet тепер повинен виділити значні ресурси на фільтрацію помилкових претензій, поки справжні постраждалі чекають на компенсацію.

Розширення Chrome для Trust Wallet має приблизно один мільйон користувачів згідно з офіційним списком, хоча практичний вплив залежить від того, скільки людей встановили версію 2.68 та ввели конфіденційні дані протягом вразливого періоду.

Шлях вперед

Trust Wallet вжив кількох заходів для запобігання майбутнім інцидентам. Компанія закінчила термін дії всіх API випуску, щоб заблокувати несанкціоновані оновлення версій на наступні два тижні. Шкідливий домен, використаний для збору викрадених даних, був повідомлений його реєстратору та швидко призупинений.

Однак залишаються питання про те, як зловмисники отримали API-ключ Chrome Web Store і чи будуть впроваджені додаткові заходи безпеки. Поточне криміналістичне розслідування може надати відповіді, але Trust Wallet не оголосив конкретних змін до свого процесу випуску.

Для користувачів криптовалют інцидент підкреслює важливість ставлення до оновлень гаманців з надзвичайною обережністю. Експерти з безпеки рекомендують чекати підтвердження спільноти перед встановленням оновлень та розглянути апаратні гаманці для значних активів.

Процес компенсації продовжується, оскільки Trust Wallet опрацьовує тисячі претензій. Здатність компанії точно ідентифікувати законних постраждалих, блокуючи шахрайські подання, ймовірно, вплине на те, як інші постачальники гаманців оброблятимуть майбутні інциденти безпеки.

Перевірка реальністю

Злом Trust Wallet виявляє дві критичні вразливості в безпеці криптовалют: атаки ланцюга постачання можуть обійти навіть добре розроблені системи безпеки, а процеси компенсації самі стають цілями для шахрайства. Оскільки Trust Wallet проводить верифікацію майже 5 000 претензій для 2 596 фактичних постраждалих, інцидент служить дорогим нагадуванням про те, що в безпеці криптовалют очищення може бути таким же складним, як і сам злом.