L'Aggiornamento che ha Svuotato i Portafogli

Cosa È Successo Esattamente nell'Incidente di Trust Wallet

Passaggio 1: È Stato Rilasciato un Nuovo Aggiornamento dell'Estensione del Browser

Un nuovo aggiornamento per l'estensione del browser Trust Wallet è stato rilasciato il 24 dicembre.

• L'aggiornamento sembrava di routine.

• Non sono stati forniti avvisi di sicurezza importanti.

• Gli utenti lo hanno installato attraverso il consueto processo di aggiornamento.

A questo punto, nulla sembrava sospetto.

Passaggio 2: È Stato Aggiunto Nuovo Codice all'Estensione

Dopo l'aggiornamento, i ricercatori che esaminavano i file dell'estensione hanno notato modifiche in un file JavaScript noto come 4482.js.

Osservazione chiave:

Questo è importante perché i wallet del browser sono ambienti molto sensibili; qualsiasi nuova logica in uscita rappresenta un rischio elevato.

Passaggio 3: Il Codice Si Mascherava Come "Analytics"

La logica aggiunta appariva come codice di analytics o telemetria.

Specificamente:

• Sembrava una logica di tracciamento utilizzata dagli SDK di analytics comuni.

• Non si attivava sempre.

• Si attivava solo in determinate condizioni.

Questo design lo rendeva più difficile da rilevare durante i test casuali.

Passaggio 4: Condizione di Attivazione — Importazione di una Seed Phrase

Il reverse-engineering della community suggerisce che la logica veniva attivata quando un utente importava una seed phrase nell'estensione.

Perché questo è critico:

• Importare una seed phrase dà al wallet il pieno controllo.

• Questo è un momento unico e di alto valore.

• Qualsiasi codice dannoso deve agire solo una volta.

Gli utenti che hanno utilizzato solo wallet esistenti potrebbero non aver attivato questo percorso.

Passaggio 5: I Dati del Wallet Sono Stati Inviati Esternamente

Quando si verificava la condizione di attivazione, il codice presumibilmente inviava dati a un endpoint esterno:

metrics-trustwallet[.]com

Cosa ha sollevato allarmi:

• Il dominio assomigliava molto a un sottodominio legittimo di Trust Wallet.

• Era stato registrato solo pochi giorni prima.

• Non era documentato pubblicamente.

• Successivamente è andato offline.

Almeno, questo conferma una comunicazione in uscita inaspettata dall'estensione del wallet.

Passaggio 6: Gli Aggressori Hanno Agito Immediatamente

Poco dopo l'importazione delle seed phrase, gli utenti hanno segnalato:

• Wallet svuotati in pochi minuti.

• Più asset spostati rapidamente.

• Nessuna ulteriore interazione dell'utente era necessaria.

Il comportamento on-chain ha mostrato:

• Pattern di transazioni automatizzate.

• Più indirizzi di destinazione.

• Nessun flusso di approvazione di phishing evidente.

Questo suggerisce che gli aggressori avevano già accesso sufficiente per firmare transazioni.

Passaggio 7: I Fondi Sono Stati Consolidati Tra Diversi Indirizzi

Gli asset rubati sono stati instradati attraverso diversi wallet controllati dagli aggressori.

Perché questo è importante:

• Suggerisce coordinamento o scripting.

• Riduce la dipendenza da un singolo indirizzo.

• Corrisponde al comportamento osservato negli exploit organizzati.

Le stime basate sugli indirizzi tracciati suggeriscono che siano stati spostati milioni di dollari, anche se i totali variano.

Passaggio 8: Il Dominio È Andato Offline

Dopo l'aumento dell'attenzione:

• Il dominio sospetto ha smesso di rispondere.

• Nessuna spiegazione pubblica è seguita immediatamente.

• Screenshot e prove in cache sono diventati cruciali.

Questo è coerente con gli aggressori che distruggono l'infrastruttura una volta esposti.

Passaggio 9: Il Riconoscimento Ufficiale È Arrivato Più Tardi

Trust Wallet ha successivamente confermato:

• Un incidente di sicurezza ha colpito una versione specifica dell'estensione del browser.

• Gli utenti mobile non sono stati colpiti.

• Gli utenti dovrebbero aggiornare o disabilitare l'estensione.

Tuttavia, non è stata fornita immediatamente una spiegazione tecnica completa per chiarire:

• Perché il dominio esisteva.

• Se le seed phrase erano state esposte.

• Se si trattava di un problema interno, di terze parti o esterno.

Questa lacuna ha alimentato continue speculazioni.

Cosa È Confermato

• Un aggiornamento dell'estensione del browser ha introdotto un nuovo comportamento in uscita.

• Gli utenti hanno perso fondi poco dopo aver importato le seed phrase.

• L'incidente è stato limitato a una versione specifica.

• Trust Wallet ha riconosciuto un problema di sicurezza.

Cosa È Fortemente Sospettato

• Un problema della supply-chain o iniezione di codice dannoso.

• Seed phrase o capacità di firma esposte.

• La logica di analytics utilizzata impropriamente o armata.

Cosa È Ancora Sconosciuto

• Se il codice fosse intenzionalmente dannoso o compromesso a monte.

• Quanti utenti sono stati colpiti.

• Se siano stati presi altri dati.

• L'attribuzione esatta degli aggressori.

Perché Questo Incidente È Importante

Questo non era un tipico phishing.

Evidenzia:

• Il pericolo delle estensioni del browser.

• Il rischio di fidarsi ciecamente degli aggiornamenti.

• Come il codice di analytics possa essere utilizzato impropriamente.

• Perché la gestione delle seed phrase è il momento più critico nella sicurezza del wallet.

Anche una vulnerabilità di breve durata può avere gravi conseguenze.