Hack di TrustWallet Spiegato: Dall'Aggiornamento al Prosciugamento dei Wallet per un Valore di $4M in $TWT, BTC, ETH

Cosa È Successo Esattamente nell'Hack di Trust Wallet

Passaggio 1: È Stato Rilasciato un Nuovo Aggiornamento dell'Estensione del Browser

Un nuovo aggiornamento per l'estensione del browser Trust Wallet è stato rilasciato il 24 dicembre.

• L'aggiornamento sembrava di routine.
• Non includeva avvisi di sicurezza importanti.
• Gli utenti lo hanno installato attraverso il processo di aggiornamento abituale.

A questo punto, nulla sembrava sospetto.

Passaggio 2: È Stato Aggiunto Nuovo Codice all'Estensione

Dopo l'aggiornamento, i ricercatori che esaminavano i file dell'estensione hanno notato modifiche in un file JavaScript noto come 4482.js.

Osservazione chiave:

• Il nuovo codice non era presente nelle versioni precedenti.
• Ha introdotto richieste di rete collegate alle azioni degli utenti.

Questo è importante perché i wallet del browser sono ambienti molto sensibili; qualsiasi nuova logica in uscita rappresenta un rischio elevato.

Passaggio 3: Il Codice si è Mascherato da "Analytics"

La logica aggiunta appariva come codice di analisi o telemetria.

Nello specifico:

• Sembrava una logica di tracciamento utilizzata da comuni SDK di analisi.
• Non si attivava sempre.
• Si attivava solo in determinate condizioni.

Questo design lo rendeva più difficile da rilevare durante test casuali.

Passaggio 4: Condizione di Attivazione dell'Importazione di una Seed Phrase

Il reverse-engineering della community suggerisce che la logica veniva attivata quando un utente importava una seed phrase nell'estensione.

Perché questo è critico:

• L'importazione di una seed phrase dà al wallet il controllo completo.
• Questo è un momento unico e di alto valore.
• Qualsiasi codice dannoso deve agire solo una volta.

Gli utenti che utilizzavano solo wallet esistenti potrebbero non aver attivato questo percorso.

Passaggio 5: I Dati del Wallet Sono Stati Inviati Esternamente

Quando si verificava la condizione di attivazione, il codice presumibilmente inviava dati a un endpoint esterno:

metrics-trustwallet[.]com

Cosa ha sollevato allarmi:

• Il dominio assomigliava molto a un sottodominio legittimo di Trust Wallet.
• Era stato registrato solo pochi giorni prima.
• Non era documentato pubblicamente.
• In seguito è andato offline.

Almeno, questo conferma una comunicazione in uscita inaspettata dall'estensione del wallet.

Passaggio 6: Gli Aggressori Hanno Agito Immediatamente

Poco dopo l'importazione delle seed phrase, gli utenti hanno segnalato:

• Wallet svuotati in pochi minuti.
• Più asset trasferiti rapidamente.
• Nessuna ulteriore interazione dell'utente necessaria.

Il comportamento on-chain ha mostrato:

• Schemi di transazione automatizzati.
• Più indirizzi di destinazione.
• Nessun flusso di approvazione di phishing evidente.

Questo suggerisce che gli aggressori avevano già accesso sufficiente per firmare transazioni.

Passaggio 7: I Fondi Sono Stati Consolidati su Più Indirizzi

Gli asset rubati sono stati instradati attraverso diversi wallet controllati dagli aggressori.

Perché questo è importante:

• Suggerisce coordinazione o scripting.
• Riduce la dipendenza da un singolo indirizzo.
• Corrisponde al comportamento visto in exploit organizzati.

Le stime basate sugli indirizzi tracciati suggeriscono che milioni di dollari sono stati spostati, anche se i totali variano.

Passaggio 8: Il Dominio si è Oscurato

Dopo l'aumento dell'attenzione:

• Il dominio sospetto ha smesso di rispondere.
• Nessuna spiegazione pubblica è seguita immediatamente.
• Screenshot ed evidenze in cache sono diventati cruciali.

Questo è coerente con gli aggressori che distruggono l'infrastruttura una volta esposti.

Passaggio 9: Il Riconoscimento Ufficiale È Arrivato Dopo

Trust Wallet ha successivamente confermato:

• Un incidente di sicurezza ha colpito una versione specifica dell'estensione del browser.
• Gli utenti mobili non sono stati interessati.
• Gli utenti dovrebbero aggiornare o disabilitare l'estensione.

Tuttavia, non è stata fornita immediatamente una descrizione tecnica completa per spiegare:

• Perché il dominio esisteva.
• Se le seed phrase erano state esposte.
• Se si trattasse di un problema interno, di terze parti o esterno.

Questa lacuna ha alimentato speculazioni continue.

Cosa È Confermato

• Un aggiornamento dell'estensione del browser ha introdotto un nuovo comportamento in uscita.
• Gli utenti hanno perso fondi poco dopo aver importato seed phrase.
• L'incidente era limitato a una versione specifica.
• Trust Wallet ha riconosciuto un problema di sicurezza.

Cosa È Fortemente Sospettato

• Un problema nella supply-chain o un'iniezione di codice dannoso.
• Seed phrase o capacità di firma esposte.
• La logica di analisi utilizzata in modo improprio o armata.

Cosa È Ancora Sconosciuto

• Se il codice fosse intenzionalmente dannoso o compromesso a monte.
• Quanti utenti sono stati colpiti.
• Se altri dati sono stati presi.
• L'attribuzione esatta degli aggressori.

Perché Questo Incidente È Importante

Questo non era phishing tipico.

Evidenzia:

• Il pericolo delle estensioni del browser.
• Il rischio di fidarsi ciecamente degli aggiornamenti.
• Come il codice di analisi possa essere utilizzato in modo improprio.
• Perché la gestione delle seed phrase è il momento più critico nella sicurezza dell'account del wallet.

Anche una vulnerabilità di breve durata può avere conseguenze gravi.

Il post TrustWallet Hack Explained: From Update to Wallet Drains worth $4M in $TWT, BTC, ETH è apparso per primo su Live Bitcoin News.