Założyciel Trust Wallet i CZ zobowiązują się zwrócić 7 milionów dolarów utraconych w wyniku włamania w Boże Narodzenie

Trust Wallet zobowiązał się pokryć około 7 milionów dolarów środków klientów utraconych w wyniku ataku w Boże Narodzenie, potwierdził jego założyciel, Changpeng Zhao, na platformie społecznościowej X. Nagłe naruszenie zabezpieczeń wstrząsnęło częścią społeczności kryptowalutowej. Mimo to szybka zapowiedź Zhao ma na celu uspokojenie nastrojów i przywrócenie zaufania do popularnego portfela samoobsługowego.

Incydent miał miejsce 25 grudnia, kiedy to skompromitowana wersja rozszerzenia przeglądarki Trust Wallet została wykorzystana do opróżnienia aktywów z portfeli użytkowników. 

Wczesne śledztwa sugerują, że złośliwy kod był aktywny w wersji 2.68 rozszerzenia, powodując nieautoryzowane transfery w wielu blockchainach, w tym Ethereum, Bitcoin i Solana. W ciągu kilku godzin dane on-chain pokazały, że środki są wyprowadzane na nieznane adresy, a straty szybko zbliżały się do 7 milionów dolarów.

W wpisie na X w piątek Zhao podkreślił, że „środki użytkowników są SAFU", używając popularnego w branży kryptowalutowej akronimu oznaczającego Secure Asset Fund for Users. Powiedział, że Trust Wallet zwróci poszkodowanym użytkownikom ich straty. Zespół kontynuuje dochodzenie, w jaki dokładnie sposób atakującym udało się przesłać i rozpowszechnić skompromitowane rozszerzenie.

Dostawca portfela opisał również naruszenie jako ograniczone do rozszerzenia przeglądarki. Trust Wallet wezwał użytkowników do natychmiastowego wyłączenia skompromitowanej wersji i aktualizacji do naprawionej wersji 2.69, dostępnej w oficjalnym Sklepie Chrome.

Użytkownicy aplikacji mobilnej i ci korzystający z innych wersji rozszerzenia nie zostali podobno dotknięci problemem.

Jak przebiegał atak na Trust Wallet

Badacze bezpieczeństwa i analitycy on-chain zaczęli układać harmonogram ataku. Początkowe oznaki przygotowań przez podmioty stanowiące zagrożenie sięgają początku grudnia, według firmy cyberbezpieczeństwa SlowMist. Ich raport wskazuje, że złośliwy kod został osadzony w kompilacji rozszerzenia przed jego uruchomieniem, co sugeruje starannie zaplanowany atak, a nie prosty zautomatyzowany atak.

Po uruchomieniu w Boże Narodzenie skompromitowane rozszerzenie zbierało wrażliwe dane użytkowników, w tym frazy seed, i przesyłało je na zdalny serwer kontrolowany przez atakujących. Ofiary, które zaimportowały frazę seed do rozszerzenia, widziały, jak ich portfele są opróżniane w ciągu kilku minut, nawet jeśli przestrzegały powszechnych praktyk bezpieczeństwa.

W całej społeczności kryptowalutowej detektywi on-chain oznaczyli setki portfeli dotkniętych naruszeniem. Szybki przepływ aktywów przez usługi miksowania skomplikował wysiłki w celu śledzenia skradzionych środków, utrudniając działania naprawcze.

Szerszy rynek odczuł wstrząs związany z tą wiadomością, która pojawiła się w czasie, gdy ceny kryptowalut były już pod presją. Pomimo relatywnie niewielkiego rozmiaru straty w porównaniu z masowymi włamaniami na giełdy w tym roku, incydent przyciągnął świeże zainteresowanie infrastrukturą portfeli opartych na przeglądarce i bezpieczeństwem łańcucha dostaw.

Tymczasem publiczna obietnica Zhao dotycząca pokrycia strat miała na celu zapewnienie użytkowników, że incydent nie spowoduje osobistych strat finansowych. Jego komunikat podkreślał, że dotknięte środki zostaną zwrócone z rezerw Trust Wallet i że problem wydaje się być ograniczony do skompromitowanego rozszerzenia.

Niektórzy obserwatorzy branży postawili pytania o to, jak złośliwa wersja przeszła przez proces weryfikacji i została rozpowszechniona za pośrednictwem oficjalnych kanałów.

Istnieją wczesne sugestie, że naruszenie może obejmować kompromis łańcucha dostaw lub nawet wiedzę wewnętrzną, biorąc pod uwagę, jak zmieniony kod był w stanie przedostać się do oficjalnego wydania. Te sugestie wywołały debatę na forach i platformach społecznościowych, a niektórzy użytkownicy wyrażali obawy dotyczące kontroli wewnętrznych i procesów weryfikacji.

Trust Wallet odpowiedział, nadając priorytet wydaniu poprawionego rozszerzenia i prosząc użytkowników o natychmiastową aktualizację. Zalecono również, aby osoby dotknięte problemem wygenerowały nowe frazy seed i przeniosły aktywa do bezpiecznych środowisk.

Wpis Trust Wallet founder, CZ vows to refund $7 million lost in Christmas Day hack po raz pierwszy ukazał się w Technext.