- Die Trust Wallet-Erweiterung Version 2.68 steht im Verdacht einer Kompromittierung der Lieferkette nach einem Update vom 24.12.
- Benutzer berichteten von Wallet-Abflüssen nach dem Import von Seeds; Verluste werden auf über 6 Millionen Dollar geschätzt.
- Trust Wallet bestätigte das Problem und empfahl ein Update auf Version 2.69; Mobile Apps sind nicht betroffen.
Sicherheitsbedenken sind rund um die Trust Wallet-Browser-Erweiterung aufgekommen, nachdem Berichte über ein kürzliches Update mit möglichem unbefugten Zugriff und Wallet-Abflüssen auftauchten, was Warnungen von Blockchain-Ermittlern und sicherheitsorientierten Entwicklern auslöste. Der Vorfall lenkte die Aufmerksamkeit auf Version 2.68 der Erweiterung, die später von Trust Wallet bestätigt wurde.
Das Problem entstand nach Benachrichtigungen vom Blockchain-Ermittler ZachXBT, der berichtete, Nachrichten von Hunderten von Benutzern erhalten zu haben, die behaupteten, dass ihre Wallet-Guthaben nach dem Import von Seed-Phrasen in die Browser-Erweiterung gesunken seien.
Laut technischen Analysen, die von Entwicklern veröffentlicht wurden, könnte das am 24.12. veröffentlichte Browser-Erweiterungs-Update zur Einschleusung von Schadcode durch den Verdacht einer Kompromittierung der Lieferkette geführt haben.
Forscher, die das Update untersuchen, behaupten, dass eine kürzlich hinzugefügte JavaScript-Datei in die Erweiterung eingebettet und offenbar als Analyse-Funktionalität getarnt wurde. Berichten zufolge wurde die Datei nur beim Import einer Seed-Phrase aktiviert und übertrug anschließend sensible Wallet-bezogene Daten an eine externe Domain, die mit der offiziellen Trust Wallet-Infrastruktur gestaltet war.
Indikatoren einer möglichen Kompromittierung der Lieferkette
Die in den Berichten erwähnte externe Domain wurde nur wenige Tage vor dem Vorfall registriert und ging später offline. Analysten stellten fest, dass die kürzliche Erstellung der Domain in Verbindung mit dem Zeitpunkt des Updates Bedenken auslöste, dass der Vorfall das Ergebnis eines koordinierten Angriffs auf die Lieferkette sein könnte und nicht isolierter Phishing-Versuche oder Benutzerfehler.
Eine On-Chain-Analyse, auf die sich Community-Forscher beziehen, zeigte, dass kompromittierte Mittel durch mehrere Adressen flossen. Ihren Angaben zufolge wird dieses Muster häufig mit automatisierten Ausbeutungsmethoden in Verbindung gebracht. Öffentliche Schätzungen, die im Internet veröffentlicht wurden, deuteten darauf hin, dass die Verluste 6 Millionen Dollar übersteigen könnten, obwohl diese Zahlen nicht unabhängig bestätigt wurden.
Trust Wallet bestätigt Umfang und Problembehebung
Später, am 25.12., bestätigte Trust Wallet, dass sich der Sicherheitsvorfall auf die Browser-Erweiterung Version 2.68 beschränkte. In einer Erklärung empfahl das Unternehmen den Benutzern, diese Version sofort zu deaktivieren und auf Version 2.69 zu aktualisieren, die ihren Angaben zufolge eine Korrektur enthält. Trust Wallet fügte hinzu, dass keine andere Version der Browser-Erweiterungen und keine seiner mobilen Apps betroffen waren.
Das Unternehmen erklärte auch, dass sein Support-Service begonnen hat, betroffene Benutzer zu kontaktieren und den Vorfall zu untersuchen. Details zur technischen Ursache oder möglichen Entschädigung wurden nicht bereitgestellt.
Verwandt: Trust Wallet stellt Guthaben nach Datensynchronisierungsfehler wieder her; Mittel sind sicher
Haftungsausschluss: Die in diesem Artikel präsentierten Informationen dienen ausschließlich Informations- und Bildungszwecken. Der Artikel stellt keine Finanzberatung oder Beratung jeglicher Art dar. Coin Edition ist nicht verantwortlich für Verluste, die sich aus der Nutzung von Inhalten, Produkten oder Dienstleistungen ergeben. Lesern wird empfohlen, Vorsicht walten zu lassen, bevor sie Maßnahmen im Zusammenhang mit dem Unternehmen ergreifen.
Quelle: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
