Засновник Trust Wallet, CZ обіцяє відшкодувати 7 мільйонів доларів, втрачених під час злому на Різдво

Trust Wallet зобов'язався покрити приблизно 7 мільйонів доларів коштів клієнтів, втрачених під час експлойту в різдвяний день, підтвердив його засновник Чанпен Чжао на соціальній платформі X. Раптове порушення сколихнуло частину крипто-спільноти. Тим не менш, швидкі запевнення Чжао спрямовані на заспокоєння нервів і відновлення довіри до популярного кастодіального гаманця.

Інцидент стався 25 грудня, коли скомпрометована версія розширення браузера Trust Wallet була використана для виведення активів з гаманців користувачів. 

Попередні розслідування свідчать, що зловмисний код був активний у версії 2.68 розширення, що спричинило несанкціоновані перекази через кілька блокчейнів, включаючи Ethereum, Bitcoin та Solana. Протягом кількох годин ончейн дані показали, що кошти відкачувались на невідомі адреси, а збитки швидко наближались до 7 мільйонів доларів.

У публікації на X у п'ятницю Чжао підкреслив, що "кошти користувачів у SAFU", використовуючи популярний криптоіндустрійний акронім для Secure Asset Fund for Users. Він сказав, що Trust Wallet відшкодує збитки постраждалим користувачам. Команда продовжує розслідувати, як саме зловмисникам вдалося завантажити та розповсюдити скомпрометоване розширення.

Постачальник гаманців також описав порушення як обмежене розширенням браузера. Trust Wallet закликав користувачів негайно вимкнути скомпрометовану версію та оновитися до виправленого випуску, версії 2.69, доступної через офіційний Chrome Web Store.

Повідомляється, що користувачі мобільного додатку та ті, хто використовує інші версії розширень, не постраждали.

Як відбувся експлойт Trust Wallet

Дослідники безпеки та ончейн аналітики почали збирати воєдино хронологію атаки. Перші ознаки підготовки з боку зловмисників датуються початком грудня, згідно з компанією з кібербезпеки SlowMist. Їхній звіт вказує на те, що зловмисний код був вбудований у збірку розширення до його запуску, що свідчить про ретельно спланований експлойт, а не просту автоматизовану атаку.

Після запуску в різдвяний день скомпрометоване розширення збирало конфіденційні дані користувачів, включаючи seed фрази, і передавало їх на віддалений сервер, контрольований зловмисниками. Жертви, які імпортували seed фразу в розширення, бачили, як їхні гаманці були спустошені за лічені хвилини, навіть якщо вони дотримувалися звичайних практик безпеки.

По всій криптоспільноті ончейн детективи позначили сотні гаманців, уражених порушенням. Швидкий рух активів через сервіси змішування ускладнив спроби відстежити вкрадені кошти, роблячи зусилля з повернення активів складними.

Ширший ринок відчув шок від новини, що настала в той час, коли криптоціни вже перебували під тиском. Незважаючи на відносно скромний розмір втрат порівняно з масивними зломами бірж цього року, інцидент привернув нову увагу до інфраструктури гаманців на основі браузера та безпеки ланцюга постачання.

Тим часом, публічна обіцянка Чжао покрити збитки мала на меті заспокоїти користувачів, що інцидент не призведе до особистих фінансових втрат. Його повідомлення підкреслило, що постраждалі кошти будуть відшкодовані з резервів Trust Wallet, і що проблема, схоже, обмежується скомпрометованим розширенням.

Деякі спостерігачі індустрії підняли питання про те, як зловмисна версія пройшла перевірку та була розповсюджена через офіційні канали.

Є ранні припущення, що порушення може включати компроміс ланцюга постачання або навіть інсайдерські знання, враховуючи, як змінений код зміг проникнути в офіційний реліз. Ці припущення спровокували дебати на форумах і соціальних платформах, де деякі користувачі висловлюють занепокоєння щодо внутрішніх контролів і процесів перевірки.

Trust Wallet відповів, надавши пріоритет випуску виправленого розширення та закликаючи користувачів негайно оновитися. Також було рекомендовано постраждалим згенерувати нові seed фрази та перенести активи в безпечне середовище.

Допис Trust Wallet founder, CZ vows to refund $7 million lost in Christmas Day hack вперше з'явився на Technext.