Trust Wallet 在 700 万美元 Chrome 扩展程序黑客事件后面临大量虚假索赔

CEO Eowyn Chen pada hari Isnin mendedahkan bahawa Trust Wallet mengenal pasti 2,596 alamat dompet yang terjejas daripada penggodaman 24 Disember. Walau bagaimanapun, syarikat menerima hampir 5,000 tuntutan untuk bayaran balik—perbezaan yang menunjukkan penyerahan penipuan yang meluas.

"Oleh sebab ini, pengesahan tepat pemilikan dompet adalah kritikal untuk memastikan dana dikembalikan kepada orang yang betul," kata Chen. "Pasukan kami bekerja dengan gigih untuk mengesahkan tuntutan; menggabungkan pelbagai titik data untuk membezakan mangsa sah daripada pelaku berniat jahat."

Jurang besar antara mangsa sebenar dan jumlah tuntutan telah memaksa Trust Wallet meninggalkan kelajuan demi ketepatan, menandakan perubahan operasi yang ketara dalam salah satu insiden keselamatan kripto yang paling ketara tahun ini.

Bagaimana Serangan Berlaku

Pelanggaran bermula apabila penyerang memperoleh kunci API Chrome Web Store yang bocor, membolehkan mereka memintas pemeriksaan keselamatan dalaman Trust Wallet. Pada 24 Disember pada 12:32 p.m. UTC, versi 2.68 sambungan Chrome yang terjejas telah dilancarkan di kedai rasmi Google.

Menurut analisis firma keselamatan blockchain SlowMist, kod berniat jahat telah disembunyikan dengan teliti di dalam perpustakaan analitik yang diubah suai dipanggil posthog-js. Apabila pengguna membuka kunci dompet mereka, kod tersebut secara rahsia mengekstrak frasa benih mereka—kunci utama kepada dompet mata wang kripto—dan menghantarnya ke pelayan yang dikawal oleh penyerang.

Domain yang digunakan untuk mengumpul data yang dicuri, "api.metrics-trustwallet.com," telah didaftarkan pada 8 Disember, menunjukkan serangan itu dirancang sekurang-kurangnya dua minggu lebih awal. Penyiasat mata wang kripto ZachXBT pertama kali menandai isu tersebut pada Hari Krismas selepas beratus-ratus pengguna melaporkan dompet terkuras.

Sumber: @EowynChen

Trust Wallet melancarkan versi 2.69 yang diperbaiki pada 25 Disember. Pelanggaran hanya menjejaskan pengguna sambungan Chrome yang log masuk sebelum 26 Disember pada 11 a.m. UTC. Pengguna aplikasi mudah alih dan versi penyemak imbas lain kekal selamat.

Persoalan Orang Dalam

Pelbagai tokoh industri telah membangkitkan kebimbangan tentang potensi penglibatan orang dalam dalam serangan tersebut. Pengasas bersama Binance Changpeng Zhao, yang syarikatnya memiliki Trust Wallet, berkata eksploitasi itu "kemungkinan besar" dilakukan oleh orang dalam, walaupun dia tidak memberikan bukti tambahan.

Pengasas bersama SlowMist Yu Xian menyatakan bahawa penyerang menunjukkan pengetahuan terperinci tentang kod sumber sambungan dan telah menyediakan infrastruktur beberapa minggu sebelum melaksanakan kecurian. Keupayaan untuk mendapatkan dan menyalahgunakan kunci API Chrome Web Store menunjukkan sama ada peranti pembangun yang terjejas atau kebenaran penggunaan yang dicuri.

Chen mengesahkan syarikat sedang menjalankan penyiasatan forensik yang lebih luas bersama proses pampasan tetapi tidak mengesahkan sama ada orang dalam terlibat.

Dana Dicuri dan Pengubahan Wang Haram

Serangan itu mengakibatkan kerugian kira-kira $7 juta merentas pelbagai mata wang kripto, termasuk Bitcoin, Ethereum, dan Solana. Firma keselamatan blockchain PeckShield menjejaki lebih daripada $4 juta daripada dana yang dicuri bergerak melalui bursa berpusat seperti ChangeNOW, FixedFloat, dan KuCoin. Kira-kira $2.8 juta kekal dalam dompet yang dikawal penyerang setakat 26 Disember.

Pergerakan pantas dana melalui pelbagai bursa dan rangkaian blockchain telah merumitkan usaha pemulihan dan menjadikan pengesanan penyerang lebih sukar.

Proses Pampasan Di Bawah Penelitian

Pengasas Binance Zhao telah komited untuk menampung semua kerugian yang disahkan, menyatakan "dana pengguna adalah SAFU"—istilah industri kripto yang bermaksud "Secure Asset Fund for Users." Walau bagaimanapun, proses pengesahan telah menjadi lebih kompleks daripada yang dijangkakan pada mulanya.

Trust Wallet memerlukan pengguna yang terjejas untuk mengemukakan maklumat terperinci melalui borang sokongan rasmi, termasuk alamat e-mel, alamat dompet yang terjejas, alamat penyerang, dan hash transaksi. Syarikat menekankan bahawa ketepatan kini mengambil keutamaan berbanding kelajuan.

Lonjakan tuntutan palsu menyerlahkan masalah berulang dalam insiden keselamatan mata wang kripto. Walaupun ketelusan blockchain membolehkan insiden dikesan, menghubungkan alamat dompet kepada pengguna yang disahkan tanpa rekod berpusat kekal mencabar. Ketegangan ini menjadi akut apabila berjuta-juta dolar dipertaruhkan.

Chen berkata pasukan sedang menggabungkan pelbagai kaedah pengesahan untuk menilai tuntutan tetapi tidak memperincikan kriteria khusus yang digunakan. Fasa pengesahan menandakan ujian kritikal sama ada Trust Wallet boleh berjaya menapis penyerahan penipuan sambil mengekalkan kepercayaan di kalangan mangsa tulen.

Amaran Tentang Penipuan Sekunder

Trust Wallet mengeluarkan amaran segera tentang penipu yang mengeksploitasi situasi tersebut. Syarikat melaporkan melihat borang pampasan palsu disebarkan melalui iklan Telegram, akaun sokongan yang dipalsukan, dan mesej langsung yang meminta kunci peribadi atau frasa benih.

Proses pampasan rasmi tidak pernah meminta kata laluan, kunci peribadi, atau frasa pemulihan. Pengguna hanya perlu mengemukakan tuntutan melalui portal sokongan Trust Wallet yang disahkan di trustwallet-support.freshdesk.com. Sebarang komunikasi lain yang mendakwa menawarkan bayaran balik harus dianggap sebagai penipuan.

Gelombang penipuan sekunder ini menambah satu lagi lapisan risiko untuk mangsa yang sudah berurusan dengan dana yang dicuri. Syarikat menekankan bahawa pengguna harus mengesahkan semua komunikasi datang dari saluran rasmi Trust Wallet sebelum mengambil sebarang tindakan.

Implikasi Keselamatan Yang Lebih Luas

Insiden Trust Wallet sesuai dengan corak yang lebih besar serangan rantaian bekalan yang menyasarkan pengguna mata wang kripto pada 2024. Menurut data Chainalysis, kecurian mata wang kripto mencecah $6.75 bilion pada 2024, dengan kompromi dompet peribadi melonjak kepada 158,000 daripada 64,000 tahun sebelumnya.

Sambungan penyemak imbas menimbulkan cabaran keselamatan unik kerana ia beroperasi dengan kebenaran yang ditinggikan dan boleh mengakses data pengguna yang sensitif. Satu kemas kini yang terjejas boleh menjejaskan beratus-ratus ribu pengguna dalam masa beberapa jam.

Insiden itu juga menunjukkan bagaimana proses pengesahan yang lemah boleh mengubah satu pelanggaran keselamatan menjadi pelbagai masalah. Trust Wallet kini mesti mendedikasikan sumber yang signifikan untuk menapis tuntutan palsu sementara mangsa tulen menunggu pampasan.

Sambungan Chrome Trust Wallet mempunyai kira-kira satu juta pengguna mengikut penyenaraian rasminya, walaupun pendedahan praktikal bergantung pada berapa ramai orang yang memasang versi 2.68 dan memasukkan data sensitif semasa tetingkap yang terdedah.

Jalan Ke Hadapan

Trust Wallet telah mengambil beberapa langkah untuk mencegah insiden masa depan. Syarikat melupuskan semua API keluaran untuk menyekat kemas kini versi yang tidak dibenarkan untuk dua minggu akan datang. Domain berniat jahat yang digunakan untuk mengumpul data yang dicuri telah dilaporkan kepada pendaftarnya dan segera digantung.

Walau bagaimanapun, persoalan kekal tentang bagaimana penyerang memperoleh kunci API Chrome Web Store dan sama ada langkah keselamatan tambahan akan dilaksanakan. Penyiasatan forensik yang sedang berjalan mungkin memberikan jawapan, tetapi Trust Wallet tidak mengumumkan perubahan khusus kepada proses keluarannya.

Untuk pengguna mata wang kripto, insiden itu mengukuhkan kepentingan merawat kemas kini dompet dengan berhati-hati yang melampau. Pakar keselamatan mengesyorkan menunggu pengesahan komuniti sebelum memasang kemas kini dan mempertimbangkan dompet perkakasan untuk pegangan yang signifikan.

Proses pampasan berterusan ketika Trust Wallet mengusahakan beribu-ribu tuntutan. Keupayaan syarikat untuk mengenal pasti dengan tepat mangsa sah sambil menyekat penyerahan penipuan berkemungkinan akan mempengaruhi bagaimana penyedia dompet lain mengendalikan insiden keselamatan masa depan.

Semakan Realiti

Pelanggaran Trust Wallet mendedahkan dua kelemahan kritikal dalam keselamatan mata wang kripto: serangan rantaian bekalan boleh memintas sistem keselamatan yang direka dengan baik, dan proses pampasan itu sendiri menjadi sasaran penipuan. Ketika Trust Wallet menavigasi pengesahan hampir 5,000 tuntutan untuk 2,596 mangsa sebenar, insiden itu berfungsi sebagai peringatan mahal bahawa dalam keselamatan kripto, pembersihan boleh menjadi sama mencabar seperti pelanggaran itu sendiri.