Пробив в Trust Wallet показва рисковете при сигурността на браузър разширенията

Инцидент със сигурността, свързан с браузър разширението на Trust Wallet, доведе до загуба на приблизително $7 милиона от средства на потребители и отново насочи вниманието към рисковете, произтичащи не от самите блокчейн мрежи, а от начина, по който се разпространява и използва софтуерът за портфейли.

Експлойтът е бил с ограничен обхват, но изключително бърз, като е позволявал на нападателите да източват портфейли в множество мрежи веднага след получаване на достъп.

Как се е случил пробивът

Уязвимостта е била ограничена до една конкретна версия на браузър разширението на Trust Wallet, версия 2.68. Потребителите на мобилното приложение или на други версии на разширението не са били засегнати.

Атакуващите са вградили злонамерен код в JavaScript файловете на разширението, създавайки скрит канал, който прихваща сийд фразите в момента, в който потребителите ги въвеждат при импорт на портфейл. Тези фрази са били незабелязано изпращани към фишинг домейн, контролиран от атакуващите, което им е давало почти мигновен пълен достъп до средствата.

Макар подготовката за експлойта вероятно да е започнала по-рано през декември, основната част от кражбите е осъществена на Коледа. В няколко случая жертви съобщават за загуби от стотици хиляди долари в рамките на минути, ясен пример колко бързо може да бъде злоупотребено с компрометирана сийд фраза.

Кои потребители са били засегнати

Атаката е засегнала стотици потребители и не е била ограничена до една блокчейн мрежа. Загуби са отчетени при Биткойн, Solana и множество EVM-съвместими мрежи. Определящият фактор не е бил активът или мрежата, а дали потребителят е инсталирал и използвал компрометираната версия на разширението.

Важно е да се подчертае, че инцидентът не е резултат от пробив в който и да е блокчейн протокол. Вместо това той разкри колко уязвими могат да бъдат браузър разширенията, дори когато идват от широко доверени доставчици, като слой в безпопечителния модел на самостоятелно съхранение.

Реакцията на компанията и компенсациите

Trust Wallet реагира бързо, като пусна коригирана версия 2.69, в която злонамереният код е премахнат. Основателят на Binance Чанпен Джао публично потвърди, че засегнатите потребители ще бъдат напълно компенсирани, като заяви, че загубите в размер на около $7 милиона ще бъдат покрити.

Джао също така посочи, че има съмнения за вътрешна намеса или компрометиране от трета страна, като разследването по случая все още продължава.

Какви указания получиха потребителите

Trust Wallet издаде спешни инструкции към всички, които са инсталирали версия 2.68. Потребителите бяха посъветвани незабавно да деактивират разширението, да прекъснат интернет връзката преди работа със сийд фрази и да прехвърлят средствата си към напълно нови портфейли.

Просто обновяване на разширението не се счита за достатъчно, ако има вероятност сийд фразата вече да е била компрометирана. Това отразява една сурова истина в крипто сигурността: веднъж изложена, мнемоничната фраза прави целия портфейл ненадежден.

По-широкият урок за сигурността

Този инцидент затвърждава повтарящ се модел в крипто индустрията: най-слабото звено често не е блокчейнът, а софтуерните интерфейси, чрез които потребителите взаимодействат с него. Браузър разширенията в частност комбинират високи привилегии с чести обновления, което ги прави привлекателна цел за атаки.

Макар ангажиментът на Trust Wallet за компенсации да ограничава финансовите щети, случаят служи като напомняне, че оперативната сигурност – целостта на кода, веригата на обновления и контролът върху разпространението, е също толкова критична, колкото и криптографският дизайн.

За потребителите изводът е ясен: софтуерът за портфейли заслужава същото ниво на внимание и проверка, както и активите, които защитава.