Hack-ul TrustWallet explicat: De la actualizare la golirea portofelelor în valoare de 4 milioane $ în $TWT, BTC, ETH

Ce S-a Întâmplat Exact în Hackul Trust Wallet

Pasul 1: A Fost Lansată o Nouă Actualizare a Extensiei de Browser

O nouă actualizare pentru extensia de browser Trust Wallet a fost lansată pe 24 decembrie.

• Actualizarea părea de rutină.
• Nu a venit însoțită de avertismente majore de securitate.
• Utilizatorii au instalat-o prin procesul obișnuit de actualizare.

În acest moment, nimic nu părea suspect.

Pasul 2: A Fost Adăugat Cod Nou în Extensie

După actualizare, cercetătorii care examinau fișierele extensiei au observat modificări într-un fișier JavaScript cunoscut sub numele de 4482.js.

Observație cheie:

• Codul nou nu era în versiunile anterioare.
• A introdus cereri de rețea legate de acțiunile utilizatorilor.

Acest lucru contează deoarece portofelele de browser sunt medii foarte sensibile; orice logică de ieșire nouă prezintă un risc ridicat.

Pasul 3: Codul S-a Mascat drept "Analiză"

Logica adăugată părea a fi cod de analiză sau telemetrie.

Mai precis:

• Arăta ca logica de urmărire utilizată de SDK-urile comune de analiză.
• Nu se activa tot timpul.
• Se activa doar în anumite condiții.

Acest design a îngreunat detectarea în timpul testării ocazionale.

Pasul 4: Condiția de Declanșare Importarea unei Fraze Seed

Ingineria inversă din comunitate sugerează că logica era declanșată atunci când un utilizator importa o frază seed în extensie.

De ce este critic:

• Importarea unei fraze seed oferă portofelului control complet.
• Acesta este un moment unic, de mare valoare.
• Orice cod rău intenționat trebuie să acționeze doar o dată.

Utilizatorii care au folosit doar portofele existente este posibil să nu fi declanșat această cale.

Pasul 5: Datele Portofelului Au Fost Trimise Extern

Când a apărut condiția de declanșare, codul ar fi trimis date către un punct final extern:

metrics-trustwallet[.]com

Ce a ridicat alarme:

• Domeniul semăna foarte mult cu un subdomeniu legitim Trust Wallet.
• A fost înregistrat cu doar câteva zile înainte.
• Nu era documentat public.
• Mai târziu a devenit offline.

Cel puțin, acest lucru confirmă comunicarea de ieșire neașteptată din extensia portofel.

Pasul 6: Atacatorii Au Acționat Imediat

La scurt timp după importurile de fraze seed, utilizatorii au raportat:

• Portofele golite în câteva minute.
• Multiple active mutate rapid.
• Nu a fost necesară nicio interacțiune suplimentară din partea utilizatorului.

Comportamentul on-chain a arătat:

• Modele de tranzacții automatizate.
• Multiple adrese de destinație.
• Niciun flux evident de aprobare de phishing.

Acest lucru sugerează că atacatorii aveau deja acces suficient pentru a semna tranzacții.

Pasul 7: Fondurile Au Fost Consolidate Prin Adrese

Activele furate au fost direcționate prin mai multe portofele controlate de atacatori.

De ce contează:

• Sugerează coordonare sau scriptare.
• Reduce dependența de o singură adresă.
• Corespunde comportamentului observat în exploatări organizate.

Estimările bazate pe adresele urmărite sugerează că s-au mutat milioane de dolari, deși totalurile variază.

Pasul 8: Domeniul A Devenit Inactiv

După ce atenția a crescut:

• Domeniul suspect a încetat să răspundă.
• Nu a urmat imediat nicio explicație publică.
• Capturile de ecran și dovezile din cache au devenit cruciale.

Acest lucru este consistent cu atacatorii care distrug infrastructura odată expusă.

Pasul 9: Recunoașterea Oficială A Venit Mai Târziu

Trust Wallet a confirmat ulterior:

• Un incident de securitate a afectat o versiune specifică a extensiei de browser.
• Utilizatorii de mobil nu au fost afectați.
• Utilizatorii ar trebui să facă upgrade sau să dezactiveze extensia.

Cu toate acestea, nu a fost oferită imediat o defalcare tehnică completă pentru a explica:

• De ce exista domeniul.
• Dacă frazele seed au fost expuse.
• Dacă a fost o problemă internă, de la terță parte sau externă.

Acest gol a alimentat speculațiile continue.

Ce Este Confirmat

• O actualizare a extensiei de browser a introdus un comportament de ieșire nou.
• Utilizatorii au pierdut fonduri la scurt timp după importarea frazelor seed.
• Incidentul a fost limitat la o versiune specifică.
• Trust Wallet a recunoscut o problemă de securitate.

Ce Este Puternic Suspectat

• O problemă de lanț de aprovizionare sau injecție de cod rău intenționat.
• Fraze seed sau capacitate de semnare expuse.
• Logica de analiză folosită greșit sau transformată în armă.

Ce Este Încă Necunoscut

• Dacă codul a fost intenționat rău intenționat sau compromis upstream.
• Câți utilizatori au fost afectați.
• Dacă au fost preluate alte date.
• Atribuirea exactă a atacatorilor.

De Ce Contează Acest Incident

Acesta nu a fost un phishing tipic.

Evidențiază:

• Pericolul extensiilor de browser.
• Riscul de a avea încredere oarbă în actualizări.
• Cum poate fi folosit greșit codul de analiză.
• De ce manipularea frazelor seed este momentul cel mai critic în securitatea portofelului.

Chiar și o vulnerabilitate de scurtă durată poate avea consecințe grave.

Postarea TrustWallet Hack Explained: From Update to Wallet Drains worth $4M in $TWT, BTC, ETH a apărut prima dată pe Live Bitcoin News.