Обновление, которое опустошило кошельки

Что именно произошло в инциденте с Trust Wallet

Шаг 1: Вышло обновление расширения для браузера

Новое обновление для браузерного расширения Trust Wallet было выпущено 24 декабря.

• Обновление казалось обычным.

• Никаких серьезных предупреждений о безопасности аккаунта с ним не было.

• Пользователи установили его через стандартный процесс обновления.

На этом этапе ничего не казалось подозрительным.

Шаг 2: В расширение был добавлен новый код

После обновления исследователи, изучавшие файлы расширения, заметили изменения в файле JavaScript, известном как 4482.js.

Ключевое наблюдение:

Это важно, потому что браузерные кошельки — очень чувствительная среда; любая новая исходящая логика представляет высокий риск.

Шаг 3: Код маскировался под "аналитику"

Добавленная логика выглядела как аналитический или телеметрический код.

А именно:

• Он выглядел как логика отслеживания, используемая обычными аналитическими SDK.

• Он не срабатывал постоянно.

• Он активировался только при определенных условиях.

Такая конструкция затрудняла обнаружение при обычном тестировании.

Шаг 4: Условие срабатывания — импорт мнемонического слова

Обратная разработка сообщества предполагает, что логика срабатывала, когда пользователь импортировал мнемоническое слово в расширение.

Почему это критично:

• Импорт мнемонического слова дает кошельку полный контроль.

• Это одноразовый момент высокой ценности.

• Любому вредоносному коду нужно сработать только один раз.

Пользователи, которые использовали только существующие кошельки, могли не активировать этот путь.

Шаг 5: Данные кошелька были отправлены внешне

Когда условие срабатывания произошло, код предположительно отправил данные на внешнюю конечную точку:

metrics-trustwallet[.]com

Что вызвало тревогу:

• Домен очень напоминал легитимный поддомен Trust Wallet.

• Он был зарегистрирован всего за несколько дней до этого.

• Он не был публично задокументирован.

• Позже он перестал работать.

По крайней мере, это подтверждает неожиданную исходящую связь из расширения кошелька.

Шаг 6: Атакующие действовали немедленно

Вскоре после импорта мнемонического слова пользователи сообщили:

• Кошельки были опустошены в течение нескольких минут.

• Несколько активов были быстро перемещены.

• Дальнейшее взаимодействие пользователя не требовалось.

Поведение в блокчейне показало:

• Автоматизированные паттерны транзакций.

• Несколько адресов назначения.

• Отсутствие очевидного фишингового потока одобрения.

Это предполагает, что у атакующих уже было достаточно доступа для подписания транзакций.

Шаг 7: Средства были консолидированы по адресам

Украденные активы были направлены через несколько контролируемых атакующими кошельков.

Почему это важно:

• Это предполагает координацию или использование скриптов.

• Это снижает зависимость от одного адреса.

• Это соответствует поведению, наблюдаемому в организованных эксплойтах.

Оценки на основе отслеживаемых адресов предполагают перемещение миллионов долларов, хотя общие суммы варьируются.

Шаг 8: Домен перестал работать

После увеличения внимания:

• Подозрительный домен перестал отвечать.

• Никаких публичных объяснений сразу не последовало.

• Скриншоты и кэшированные доказательства стали решающими.

Это соответствует действиям атакующих по уничтожению инфраструктуры после разоблачения.

Шаг 9: Официальное признание пришло позже

Trust Wallet позже подтвердил:

• Инцидент безопасности аккаунта затронул конкретную версию браузерного расширения.

• Мобильные пользователи не пострадали.

• Пользователям следует обновить или отключить расширение.

Однако полной технической разбивки сразу не было предоставлено, чтобы объяснить:

• Почему домен существовал.

• Были ли раскрыты мнемонические слова.

• Была ли это внутренняя проблема, проблема третьей стороны или внешняя проблема.

Этот пробел подогрел текущие спекуляции.

Что подтверждено

• Обновление браузерного расширения ввело новое исходящее поведение.

• Пользователи потеряли средства вскоре после импорта мнемонических слов.

• Инцидент был ограничен конкретной версией.

• Trust Wallet признал проблему безопасности аккаунта.

Что сильно подозревается

• Проблема цепочки поставок или внедрение вредоносного кода.

• Раскрытие мнемонических слов или возможности подписания.

• Злоупотребление или использование аналитической логики в качестве оружия.

Что все еще неизвестно

• Был ли код преднамеренно вредоносным или скомпрометирован выше по цепочке.

• Сколько пользователей пострадало.

• Были ли взяты какие-либо другие данные.

• Точная атрибуция атакующих.

Почему этот инцидент важен

Это был не типичный фишинг.

Он подчеркивает:

• Опасность браузерных расширений.

• Риск слепого доверия обновлениям.

• Как аналитический код может быть использован неправильно.

• Почему обработка мнемонических слов является наиболее критичным моментом в безопасности кошелька.

Даже кратковременная уязвимость может иметь серьезные последствия.