Trust Wallet zmaga się z falą fałszywych roszczeń po włamaniu do rozszerzenia Chrome wartym 7 milionów dolarów

Prezes Eowyn Chen ujawniła w poniedziałek, że Trust Wallet zidentyfikował 2 596 skompromitowanych adresów portfeli z włamania z 24 grudnia. Jednak firma otrzymała prawie 5 000 roszczeń o zwrot kosztów — rozbieżność, która wskazuje na powszechne oszukańcze zgłoszenia.

„Z tego powodu dokładna weryfikacja własności portfela jest kluczowa, aby zapewnić, że środki zostaną zwrócone właściwym osobom," stwierdziła Chen. „Nasz zespół pracuje старанnie nad weryfikacją roszczeń, łącząc wiele punktów danych, aby odróżnić prawdziwe ofiary od złośliwych aktorów."

Ogromna przepaść między rzeczywistymi ofiarami a całkowitą liczbą roszczeń zmusiła Trust Wallet do porzucenia szybkości na rzecz dokładności, co stanowi znaczącą zmianę operacyjną w jednym z najbardziej zauważalnych incydentów bezpieczeństwa kryptowalut w tym roku.

Jak rozwinął się atak

Naruszenie rozpoczęło się, gdy atakujący uzyskali wyciekły klucz API Chrome Web Store, co pozwoliło im ominąć wewnętrzne kontrole bezpieczeństwa Trust Wallet. 24 grudnia o 12:32 UTC skompromitowana wersja 2.68 rozszerzenia Chrome została opublikowana w oficjalnym sklepie Google.

Według analizy firmy zajmującej się bezpieczeństwem blockchain SlowMist, złośliwy kod był starannie ukryty wewnątrz zmodyfikowanej biblioteki analitycznej o nazwie posthog-js. Gdy użytkownicy odblokowywali swoje portfele, kod potajemnie wydobywał ich frazy seed — główne klucze do portfeli kryptowalut — i wysyłał je na serwer kontrolowany przez atakujących.

Domena używana do gromadzenia skradzionych danych, „api.metrics-trustwallet.com," została zarejestrowana 8 grudnia, co sugeruje, że atak był planowany co najmniej dwa tygodnie wcześniej. Śledczy kryptowalut ZachXBT po raz pierwszy zgłosił problem w Boże Narodzenie po tym, jak setki użytkowników zgłosiły opróżnione portfele.

Źródło: @EowynChen

Trust Wallet wypuścił naprawioną wersję 2.69 25 grudnia. Naruszenie dotyczyło tylko użytkowników rozszerzenia Chrome, którzy zalogowali się przed 26 grudnia o 11:00 UTC. Użytkownicy aplikacji mobilnej i innych wersji przeglądarek pozostali bezpieczni.

Kwestia osoby z wewnątrz

Wiele postaci z branży wyraziło obawy dotyczące potencjalnego zaangażowania osoby z wewnątrz w atak. Współzałożyciel Binance Changpeng Zhao, którego firma jest właścicielem Trust Wallet, powiedział, że exploit został „najprawdopodobniej" przeprowadzony przez osobę z wewnątrz, choć nie przedstawił dodatkowych dowodów.

Współzałożyciel SlowMist Yu Xian zauważył, że atakujący wykazał szczegółową znajomość kodu źródłowego rozszerzenia i przygotował infrastrukturę tygodnie przed wykonaniem kradzieży. Zdolność do uzyskania i niewłaściwego wykorzystania klucza API Chrome Web Store sugeruje albo skompromitowane urządzenia deweloperów, albo skradzione uprawnienia wdrożeniowe.

Chen potwierdziła, że firma prowadzi szersze śledztwo kryminalistyczne równolegle z procesem rekompensaty, ale nie potwierdziła, czy osoby z wewnątrz były zaangażowane.

Skradzione fundusze i pranie pieniędzy

Atak spowodował straty w wysokości około 7 milionów dolarów w wielu kryptowalutach, w tym Bitcoin, Ethereum i Solana. Firma zajmująca się bezpieczeństwem blockchain PeckShield śledziła ponad 4 miliony dolarów skradzionych funduszy przemieszczających się przez scentralizowane giełdy, takie jak ChangeNOW, FixedFloat i KuCoin. Około 2,8 miliona dolarów pozostawało w portfelach kontrolowanych przez atakujących według stanu na 26 grudnia.

Szybkie przemieszczanie funduszy przez wiele giełd i sieci blockchain skomplikowało wysiłki odzyskiwania i utrudniło śledzenie atakujących.

Proces rekompensaty pod lupą

Założyciel Binance Zhao zobowiązał się do pokrycia wszystkich zweryfikowanych strat, stwierdzając „fundusze użytkowników są SAFU" — termin z branży kryptowalut oznaczający „Secure Asset Fund for Users". Jednak proces weryfikacji stał się bardziej złożony niż początkowo oczekiwano.

Trust Wallet wymaga od dotkniętych użytkowników przesłania szczegółowych informacji poprzez oficjalny formularz wsparcia, w tym adresów e-mail, skompromitowanych adresów portfeli, adresów atakujących i hashy transakcji. Firma podkreśliła, że dokładność ma teraz pierwszeństwo nad szybkością.

Wzrost fałszywych roszczeń podkreśla powracający problem w incydentach bezpieczeństwa kryptowalut. Chociaż przejrzystość blockchain pozwala na śledzenie incydentów, powiązanie adresów portfeli ze zweryfikowanymi użytkownikami bez scentralizowanych rejestrów pozostaje wyzwaniem. To napięcie staje się ostre, gdy stawką są miliony dolarów.

Chen powiedziała, że zespół łączy wiele metod weryfikacji do oceny roszczeń, ale nie podała szczegółowych kryteriów, które są stosowane. Faza weryfikacji stanowi krytyczny test, czy Trust Wallet może skutecznie odfiltrować oszukańcze zgłoszenia, jednocześnie utrzymując zaufanie wśród prawdziwych ofiar.

Ostrzeżenie o wtórnych oszustwach

Trust Wallet wydał pilne ostrzeżenia o oszustach wykorzystujących sytuację. Firma zgłosiła fałszywe formularze rekompensaty rozprzestrzeniające się za pośrednictwem reklam na Telegramie, podszywających się kont wsparcia i bezpośrednich wiadomości żądających kluczy prywatnych lub fraz seed.

Oficjalny proces rekompensaty nigdy nie prosi o hasła, klucze prywatne ani frazy odzyskiwania. Użytkownicy powinni składać roszczenia tylko za pośrednictwem zweryfikowanego portalu wsparcia Trust Wallet pod adresem trustwallet-support.freshdesk.com. Każda inna komunikacja twierdząca, że oferuje zwrot kosztów, powinna być traktowana jako oszustwo.

Ta wtórna fala oszustw dodaje kolejną warstwę ryzyka dla ofiar już mających do czynienia ze skradzionymi funduszami. Firma podkreśliła, że użytkownicy powinni weryfikować, czy wszystkie komunikaty pochodzą z oficjalnych kanałów Trust Wallet przed podjęciem jakichkolwiek działań.

Szersze implikacje dla bezpieczeństwa

Incydent Trust Wallet wpisuje się w szerszy wzorzec ataków na łańcuch dostaw wymierzonych w użytkowników kryptowalut w 2024 roku. Według danych Chainalysis, kradzież kryptowalut osiągnęła 6,75 miliarda dolarów w 2024 roku, przy czym kompromitacje osobistych portfeli wzrosły do 158 000 z 64 000 w poprzednim roku.

Rozszerzenia przeglądarki stanowią unikalne wyzwania bezpieczeństwa, ponieważ działają z podwyższonymi uprawnieniami i mogą uzyskać dostęp do wrażliwych danych użytkownika. Pojedyncza skompromitowana aktualizacja może wpłynąć na setki tysięcy użytkowników w ciągu godzin.

Incydent pokazuje również, jak słabe procesy weryfikacji mogą przekształcić pojedyncze naruszenie bezpieczeństwa w wiele problemów. Trust Wallet musi teraz przeznaczyć znaczne zasoby na filtrowanie fałszywych roszczeń, podczas gdy prawdziwe ofiary czekają na rekompensatę.

Rozszerzenie Chrome Trust Wallet ma około miliona użytkowników według oficjalnego wykazu, chociaż praktyczna ekspozycja zależy od tego, ile osób zainstalowało wersję 2.68 i wprowadziło wrażliwe dane podczas okna podatności.

Droga naprzód

Trust Wallet podjął kilka kroków, aby zapobiec przyszłym incydentom. Firma wygasiła wszystkie API wydań, aby zablokować nieautoryzowane aktualizacje wersji przez następne dwa tygodnie. Złośliwa domena używana do zbierania skradzionych danych została zgłoszona do rejestratora i szybko zawieszona.

Jednak pozostają pytania o to, jak atakujący uzyskali klucz API Chrome Web Store i czy zostaną wdrożone dodatkowe środki bezpieczeństwa. Trwające śledztwo kryminalistyczne może dostarczyć odpowiedzi, ale Trust Wallet nie ogłosił konkretnych zmian w swoim procesie wydawania.

Dla użytkowników kryptowalut incydent wzmacnia znaczenie traktowania aktualizacji portfela z najwyższą ostrożnością. Eksperci ds. bezpieczeństwa zalecają czekanie na potwierdzenie społeczności przed instalacją aktualizacji i rozważenie portfeli sprzętowych dla znaczących zasobów.

Proces rekompensaty trwa, gdy Trust Wallet przetwarza tysiące roszczeń. Zdolność firmy do dokładnej identyfikacji prawdziwych ofiar przy jednoczesnym blokowaniu oszukańczych zgłoszeń prawdopodobnie wpłynie na to, jak inni dostawcy portfeli będą radzić sobie z przyszłymi incydentami bezpieczeństwa.

Rzeczywistość

Naruszenie Trust Wallet ujawnia dwie krytyczne luki w bezpieczeństwie kryptowalut: ataki na łańcuch dostaw mogą ominąć nawet dobrze zaprojektowane systemy bezpieczeństwa, a same procesy rekompensaty stają się celami dla oszustw. Gdy Trust Wallet przechodzi przez weryfikację prawie 5 000 roszczeń dla 2 596 rzeczywistych ofiar, incydent służy jako kosztowne przypomnienie, że w bezpieczeństwie kryptowalut, sprzątanie może być równie trudne jak samo naruszenie.