Команда Trust Wallet оприлюднила звіт щодо інциденту зі зломом 26 грудня, що призвів до втрати коштів на загальну суму $8,5 млн.
За інформацією з заяви, атака торкнулася 2520 адрес. Розробники взяли на себе зобов’язання в повному обсязі компенсувати втрати потерпілим.
Причиною злому стала широкомасштабна атака на ланцюг постачання Sha1-Hulud, зафіксована ще в листопаді. Тоді хакери отримали доступ до таємниць розробників на GitHub та API-ключа магазину Chrome Web Store.
Використовуючи викрадені дані, зловмисники:
- Завантажили шкідливу модифікацію розширення (2.68) у Chrome Web Store, обійшовши внутрішній контроль Trust Wallet.
- Зареєстрували домен metrics-trustwallet.com для збору конфіденційної інформації (сід-фраз і приватних ключів).
- Автоматично розповсюдили оновлення серед користувачів після успішного проходження перевірки Google.
Шкідлива модифікація була активною з 24 по 26 грудня. Після виявлення проблеми команда відкотила розширення до безпечної версії 2.69 та анулювала скомпрометовані ключі.
Хто опинився під ударом
Вразливість зачепила виключно користувачів десктопного розширення версії 2.68, які здійснювали вхід у гаманець у зазначені дні. Мобільний додаток Trust Wallet та інші версії розширення залишилися захищеними.
Аналітики ідентифікували 17 адрес, що контролюються хакером. Загальні збитки — $8,5 млн.
«Ми розцінюємо даний випадок не тільки як важливий урок для нас, але і як вирішальний момент для всієї індустрії у контексті атак на ланцюги постачання», — заявили в Trust Wallet.
Процес відшкодування засобів
Компанія вже розпочала роботу з жертвами злому. Щоб отримати компенсацію, користувачам необхідно подати запит через офіційну форму підтримки та підтвердити володіння гаманцем.
У Trust Wallet звернули увагу на складність процесу через велику кількість шахраїв. На 2520 постраждалих адрес вже надійшло понад 5000 запитів. Команда закликала користувачів зберігати терпіння та бути пильними щодо фішингу: офіційна підтримка ніколи не запитує сід-фрази.
Для запобігання подібним інцидентам у майбутньому, проєкт посилив заходи безпеки, зокрема аудит залежностей коду та зміну облікових даних.
Варто нагадати, що у 2025 році обсяг коштів, викрадених за допомогою фішингових атак, знизився на 83%, склавши $83,85 млн, згідно з інформацією SlowMist.