- Un aggiornamento dannoso dell'estensione Chrome Trust Wallet ha causato perdite di milioni di criptovalute da migliaia di portafogli del browser.
- Gli aggressori hanno sfruttato una chiave API del Chrome Web Store trapelata e una sospetta compromissione della supply chain per distribuire una versione trojanizzata dell'estensione.
- Trust Wallet sta distribuendo rimborsi solo alle vittime confermate, rafforzando la sua procedura di richiesta di risarcimento per filtrare le richieste fraudolente.
- Le nuove versioni dell'estensione aggiungono funzionalità di verifica e indicazioni sulla sicurezza, mentre l'app mobile rimane invariata.
Durante il recente periodo di vacanza, migliaia di utenti di Trust Wallet si sono svegliati scoprendo che i loro portafogli crittografici basati su browser erano stati svuotati silenziosamenteUn aggiornamento dannoso alla popolare estensione di Chrome ha consentito agli aggressori di sottrarre risorse digitali attraverso più blockchain, innescando uno degli incidenti di portafoglio più destabilizzanti dell'ultimo anno.
Quando la portata della violazione è diventata chiara, Trust Wallet si è mosso per chiudere l'infrastruttura dell'aggressore, ritirare la versione compromessa dal Chrome Web Store e promettere un risarcimento alle vittime accertateAllo stesso tempo, l'azienda ha dovuto superare ostacoli tecnici, un'ondata di richieste di rimborso fraudolente e una crescente preoccupazione per i rischi della catena di fornitura nell'ecosistema del software crittografico.
Come si è sviluppato l'exploit del browser Trust Wallet
L'incidente è incentrato sull'estensione del browser Chrome di Trust Wallet, utilizzata da migliaia di persone per gestire le criptovalute auto-custodite direttamente dal proprio browser webSecondo Trust Wallet, gli aggressori sono riusciti a pubblicare una versione dannosa dell'estensione che sembrava legittima, ma conteneva codice nascosto per rubare dati sensibili del portafoglio.
In un rapporto sull'incidente, la società ha affermato che gli aggressori sono riusciti a spingere una build trojanizzata dell'estensione attraverso il processo di revisione del Chrome Web StoreA quanto pare, lo hanno fatto abusando di una chiave API del Chrome Web Store trapelata o compromessa associata all'account sviluppatore di Trust Wallet, aggirando di fatto le misure di sicurezza interne che avrebbero dovuto impedire rilasci non autorizzati.
Questa estensione manomessa includeva JavaScript incorporato progettato per esfiltrare informazioni critiche dal portafoglio, come chiavi private o frasi seed, degli utenti che hanno interagito con esso. Una volta che il codice dannoso è stato attivato, chiunque aggiornasse o installasse la versione interessata dell'estensione è diventato un potenziale bersaglio.
Trust Wallet ha affermato che l'exploit ha avuto un impatto di circa Da 2,500 a 2,600 indirizzi di portafoglio distinti su diverse reti blockchain. Un primo conteggio dell'azienda stimava le perdite totali a circa 7 milioni di dollari, mentre una dichiarazione successiva faceva riferimento a una stima di 8.5 milioni di dollari di asset compromessi, man mano che le indagini perfezionavano i numeri e venivano confermate altre vittime.
Gli investigatori e il team di Trust Wallet hanno evidenziato che l'attacco non è avvenuto spontaneamente: gli avversari hanno allestito la loro infrastruttura settimane prima dei furti veri e propriSecondo quanto riferito, domini, server e componenti dannosi sono stati configurati intorno all'8 dicembre, ben prima della distribuzione della versione dannosa dell'estensione nel periodo natalizio.
La versione dannosa dell'estensione Chrome e il periodo delle festività
Il punto focale della violazione è stato un rilascio specifico dell'estensione, identificato come versione 2.68 del componente aggiuntivo del browser Trust WalletQuesta build è stata rilasciata intorno alla vigilia di Natale, proprio quando molti utenti erano in vacanza e prestavano meno attenzione agli avvisi di sicurezza o ai dettagli degli aggiornamenti.
Gli utenti che hanno installato o aggiornato questa versione hanno scoperto solo in seguito che i loro saldi erano stati prosciugati in un arco di tempo di circa due giorni tra il 25 e il 26 dicembre. L'analisi della blockchain ha suggerito che i fondi venivano sistematicamente trasferiti dai portafogli compromessi a direzioni controllate dagli atacanti, con scarse possibilità di recupero una volta confermati i trasferimenti.
Trust Wallet ha risposto rilasciando una versione pulita versione 2.69 destinata a sostituire la build 2.68 compromessaL'azienda ha esortato tutti ad aggiornare immediatamente per impedire l'ulteriore esfiltrazione di dati sensibili. Tuttavia, questa rapida soluzione non è andata esattamente come previsto: la nuova versione ha riscontrato un bug imprevisto nella pipeline del Chrome Web Store.
A causa di questo problema, l'estensione è diventata temporaneamente non disponibile nel Chrome Web Store, il che ha suscitato confusione e preoccupazione tra gli utenti, che temevano un problema di sicurezza ancora più grave. I vertici di Trust Wallet hanno successivamente chiarito che l'interruzione era collegata a un bug del Chrome Web Store riscontrato durante la pubblicazione dell'aggiornamento, non a una seconda compromissione.
Google, da parte sua, avrebbe detto di aver ha riconosciuto il problema di pubblicazione e lo ha segnalato internamenteDopo un'ulteriore revisione, l'estensione è tornata sullo store come versione 2.71.0, che è diventata la nuova base di riferimento per gli utenti che cercano un aggiornamento sicuro.
Collegamenti a un attacco più ampio alla catena di fornitura
Trust Wallet ha indicato prove che dimostrano che l'exploit è stato non si tratta di un incidente isolato ma probabilmente collegato a un più ampio compromesso della catena di fornituraIn particolare, l'azienda ha affermato di avere grande fiducia nel fatto che l'attacco all'estensione Chrome sia correlato alla cosiddetta campagna Shai-Hulud.
L'attacco alla catena di fornitura, reso noto a novembre, aveva come obiettivo registro software npm e ha avuto un impatto su un gran numero di repository open source in tutto il settoreGli autori delle minacce hanno manomesso le dipendenze utilizzate da più progetti, evidenziando come un singolo componente compromesso possa propagarsi a numerose applicazioni e servizi.
Nel caso di Trust Wallet, la teoria è che gli avversari hanno sfruttato dipendenze software meno visibili e strumenti di compilazione per preparare il terreno alla distribuzione di un aggiornamento di estensione dannoso che ha comunque superato i controlli automatici. Sebbene i dettagli tecnici completi non siano stati resi pubblici, gli investigatori hanno sottolineato che l'operazione ha dimostrato un'attenta pianificazione, pazienza e una solida conoscenza dell'ecosistema delle estensioni web.
I ricercatori della sicurezza che hanno commentato l'incidente hanno sottolineato la lezione più ampia: anche gli strumenti crittografici ampiamente utilizzati e affidabili possono essere compromessi tramite la loro catena di fornitura di sviluppoPer gli utenti comuni, questo tipo di attacco è quasi impossibile da individuare semplicemente dando un'occhiata all'interfaccia dell'estensione o alle note di aggiornamento.
Aggiungendo un tocco insolito, alcuni ricercatori white-hat avrebbe lanciato attacchi DDoS (distributed denial-of-service) contro parti dell'infrastruttura dell'aggressore una volta scoperta la compromissione. L'idea era di interrompere i canali di esfiltrazione in tempo reale e ridurre il numero di vittime aggiuntive durante le ore cruciali successive alla scoperta.
La risposta di Trust Wallet: correzioni, rimborsi e nuove funzionalità
Una volta identificata la build dannosa, Trust Wallet ha adottato una serie di misure volte a contenere la violazione e supportare gli utenti che avevano perso fondiL'azienda ha revocato tutte le chiavi API di rilascio del Chrome Web Store utilizzate per la pubblicazione degli aggiornamenti delle estensioni e ha implementato un processo di rilascio interno rafforzato per ridurre la possibilità che build non autorizzate sfuggano in futuro.
Trust Wallet ha collaborato anche con provider di registrar e hosting, tra cui NiceNIC, per smantellare l'infrastruttura di esfiltrazione dei dati dell'aggressoreLa chiusura di domini e server ha reso più difficile per l'estensione dannosa telefonare a casa con le chiavi rubate, sebbene le risorse già spostate sulla catena rimanessero di fatto fuori dalla sua portata.
Parallelamente, il team ha iniziato identificare e notificare gli indirizzi dei wallet interessatiI primi report menzionavano circa 2,520 wallet compromessi, successivamente ridotti a circa 2,596 indirizzi con il proseguire dell'analisi. L'azienda ha definito questi numeri come la portata definitiva dell'impatto diretto dell'exploit del browser.
Anche la società madre di Trust Wallet, Binance, ha espresso il suo parere. Il fondatore di Binance, Changpeng Zhao, ha confermato pubblicamente che il gruppo intendeva rimborsare completamente gli utenti le cui perdite potrebbero essere verificate derivante dall'attacco hacker all'estensione. Trust Wallet ha sottolineato che questo impegno di rimedio si applicava specificamente all'incidente dell'estensione e non implicava alcuna garanzia più ampia contro errori o truffe degli utenti non correlati.
L'estensione aggiornata, rilasciata come versione 2.71.0, ha introdotto un nuova funzionalità del codice di verifica del servizio clientiQuesto meccanismo è pensato per aiutare il team a confermare la titolarità del portafoglio durante l'elaborazione delle richieste, fornendo un segnale aggiuntivo per distinguere le vittime legittime dagli impostori che tentano di trarre profitto dal programma di rimborso.
Richieste fraudolente e un processo di rimborso più severo
Nonostante l'impegno dell'azienda nel supportare le vittime, l'iniziativa di rimborso ha rapidamente attirato l'attenzione di persone che non sono mai state colpite dall'exploitIl CEO di Trust Wallet ha riferito che il team ha ricevuto più di 5,000 segnalazioni, nonostante l'analisi forense avesse identificato poco più di 2,500 portafogli come effettivamente compromessi.
Questa discrepanza ha costretto l'azienda a rafforzare il processo di verifica delle richiesteInvece di basarsi su semplici informazioni auto-riportate, Trust Wallet ha iniziato a correlare più punti dati: cronologie delle transazioni on-chain, telemetria dell'estensione, registri di sicurezza e nuovi codici di verifica generati dall'estensione ripristinata.
Nei messaggi agli utenti, l'amministratore delegato ha spiegato che il personale dell'azienda stava lavorando diligentemente per separare le vittime genuine dalle segnalazioni fraudolente o duplicateIl tono era misurato ma chiaro: i rimborsi sarebbero andati solo a coloro che potevano essere collegati in modo affidabile agli indirizzi compromessi nella finestra temporale dell'exploit.
Il processo di revisione più rigoroso ha inevitabilmente rallentato i pagamenti, ma ha anche contribuito ad affrontare le preoccupazioni che i fondi di compensazione potrebbero essere prosciugati da richiedenti opportunistiPer gli utenti interessati, ciò significava tempi di attesa più lunghi, ma maggiori possibilità che il fondo di rimborso non venisse esaurito ingiustamente.
Trust Wallet ha ribadito durante tutto il processo che solo l'estensione del browser è stata interessata dall'aggiornamento dannosoL'azienda ha ripetutamente sottolineato che le build delle app mobili non sono state interessate, con l'obiettivo di rassicurare i numerosi utenti che si affidano principalmente alle versioni per smartphone del portafoglio.
Rimozione temporanea dal Chrome Web Store
Come parte dello sforzo di bonifica, l'estensione del browser di Trust Wallet è scomparso per un periodo dall'elenco ufficiale del Chrome Web StoreConsiderata la tempistica, molti utenti hanno pensato che l'estensione fosse stata ritirata da Google perché ancora non era sicura.
La società ha poi chiarito che la scomparsa era legata a un Bug del Chrome Web Store riscontrato durante il caricamento della nuova versione che incorporava la funzionalità di verifica del rimborso. Secondo la dirigenza di Trust Wallet, Google ha riconosciuto questo problema di pubblicazione e lo ha segnalato internamente fino alla sua risoluzione.
Durante l'interruzione, Trust Wallet ha consigliato agli utenti di essere estremamente cauti riguardo alle estensioni false e agli annunci simili che potrebbero cercare di sfruttare la confusione. Gli aggressori spesso caricano versioni contraffatte di popolari strumenti di crittografia, sperando che gli utenti preoccupati le installino in fretta e furia senza verificare l'editore.
Una volta risolto il problema da parte di Google, la versione 2.71.0 dell'estensione è stata nuovamente pubblicata Con funzionalità di verifica aggiuntive e miglioramenti della sicurezza, gli utenti sono stati invitati a confermare di scaricare l'estensione solo dalla sezione dedicata agli sviluppatori di Trust Wallet sul Chrome Web Store e a controllare attentamente i numeri di versione.
L'azienda ha utilizzato questo episodio per rafforzare un messaggio fondamentale: non installare mai estensioni del portafoglio da link non verificati condivisi in e-mail, messaggi diretti o canali di supporto non ufficiali, indipendentemente da quanto urgente o convincente possa sembrare il messaggio.
Tentativi di phishing in corso e raccomandazioni per la sicurezza degli utenti
Anche dopo che l'infrastruttura principale di exploit è stata smantellata, gli aggressori non si sono semplicemente ritirati. Trust Wallet ha riferito che campagne di phishing successive è apparso rapidamente, con truffatori che si spacciavano per l'azienda nel tentativo di raccogliere frasi seed e chiavi private dagli utenti preoccupati.
Questi tentativi di phishing spesso imitavano messaggi di supporto clienti o annunci di rimborso, sollecitando gli utenti a "confermare" i loro portafogli fornendo frasi di recuperoAltri hanno fatto riferimento a domini simili o a false interfacce web in cui alle vittime veniva chiesto di collegare i propri portafogli per presunti controlli di sicurezza.
Le linee guida pubbliche di Trust Wallet hanno ripetuto diversi principi fondamentali di sicurezza: gli utenti dovrebbero non condividere mai la loro frase seme, le chiavi private o le informazioni di recupero complete con nessuno, incluso il presunto personale di supporto. I team di supporto ufficiali non hanno bisogno di questi dati per risolvere problemi tecnici o elaborare risarcimenti.
L'azienda ha inoltre incoraggiato gli utenti a verificare attentamente gli URL, aggiungere ai preferiti il sito web ufficiale ed evitare di cliccare sui link presenti in e-mail indesiderate o messaggi sui social mediaPer le estensioni del browser, controllare il nome dell'editore, il numero di recensioni e l'elenco delle autorizzazioni può aiutare a individuare i falsi, anche se questi controlli non sono infallibili.
Infine, agli utenti è stato consigliato di considerare spostare saldi significativi dai portafogli basati su browser utilizzati per le interazioni quotidiane e in portafogli hardware o altre forme di cold storage meno esposte a compromissioni a livello di estensione e phishing.
L'exploit dell'estensione Trust Wallet è diventato un punto di riferimento per il modo in cui un attacco ben pianificato attacco di distribuzione può infiltrarsi in uno strumento crittografico tradizionale, quanto velocemente i fondi possono svanire una volta che le chiavi vengono esposte e quanto complessi possano essere il rimborso e la protezione degli utenti in un ecosistema decentralizzato. L'incidente sottolinea la necessità di controlli di rilascio più rigorosi, infrastrutture più resilienti e un comportamento più scettico da parte degli utenti ogni volta che un portafoglio richiede informazioni di recupero sensibili o un aggiornamento appare in un momento particolarmente conveniente, o sospetto.
