Пользователи Trust Wallet потеряли $7 млн в виде криптовалюты из-за взлома легального расширения проекта Chrome, выпущенного 24 декабря. Компания пообещала покрыть убытки.

Trust Wallet — это широко используемый некастодиальный криптовалютный кошелёк, позволяющий пользователям хранить активы в различных блокчейнах, управлять ими и взаимодействовать с ними. Кошелёк доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями.

Аналитики безопасности Akinator призвали на некоторое время воздержаться от использования расширения Trust Wallet для Chrome.

Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря — незадолго до того, как начали появляться сообщения о краже криптовалюты с кошельков. Позже в этой версии обновления обнаружили подозрительный код. Он содержится в файле JavaScript под названием 4482.js и предназначен для передачи конфиденциальных данных кошелька на внешний сервер, размещённый по адресу api.metrics-trustwallet[.]com.

Исследователь в области кибербезопасности Эндрю Мохок подтвердил, что конечная точка была связана с тайной передачей конфиденциальной информации.

Согласно общедоступным данным WHOIS, родительский домен metrics-trustwallet[.].com был зарегистрирован всего за несколько дней до инцидента. К настоящему момент нет подтверждения, что этот домен принадлежит или управляется Trust Wallet.

Компания сообщила, что инцидент затронул только версию 2.68.0 расширения для Chrome. Trust Wallet посоветовала пользователям немедленно обновиться до 2.69.0 для решения проблемы. Оператор не уточнил точное число пострадавших клиентов и общую сумму украденной криптовалюты.

Издание BleepingComputer обнаружило параллельную фишинговую кампанию на фоне нарастающей паники из-за взлома Trust Wallet. Несколько пользователей социальной сети X перенаправляли обеспокоенных пользователей на подозрительный домен fix-trustwallet[.]com.

Сайт точно имитировал бренд Trust Wallet, утверждая, что компания исправила уязвимость безопасности. Однако после нажатия на кнопку «Обновить» у пользователей отображалась форма с запросом фразы восстановления, которая служит мастер-ключом, предоставляющим полный контроль над кошельком. Ввод ключевой фразы на таком сайте позволял злоумышленникам немедленно вывести все связанные с кошельком средства.

Домен fix-trustwallet[.]com зарегистрировали в декабре у того же регистратора, что и metrics-trustwallet[.]com. Исследователи полагают, что оба домена могут быть связаны с тем же злоумышленником или группой, стоящей за более масштабной атакой.