Колектив Trust Wallet оприлюднив звіт про інцидент з хакерською атакою 26 грудня, що спричинив втрату коштів на суму $8,5 млн.
Згідно з повідомленням, кібератака торкнулася 2520 адрес. Розробники взяли на себе зобов’язання повністю компенсувати збитки постраждалим.
Причиною кібератаки стала широкомасштабна атака на систему постачання Sha1-Hulud, зафіксована ще в листопаді. Тоді зловмисники отримали доступ до секретних даних розробників на GitHub і API-ключа магазину Chrome Web Store.
Застосовуючи викрадені дані, правопорушники:
- Завантажили зловмисну версію розширення (2.68) до Chrome Web Store, обійшовши внутрішній контроль Trust Wallet.
- Зареєстрували домен metrics-trustwallet.com для накопичення конфіденційних даних (сід-фраз і приватних ключів).
- Автоматично поширили оновлення серед користувачів після проходження перевірки Google.
Небезпечна версія була активною з 24 по 26 грудня. Після виявлення проблеми команда повернула розширення до безпечної версії 2.69 та анулювала скомпрометовані ключі.
Хто опинився під прицілом
Уразливість зачепила виключно користувачів десктопного розширення версії 2.68, котрі здійснювали вхід до гаманця у вказані дні. Мобільний додаток Trust Wallet та інші версії розширення залишилися в безпеці.
Аналітики ідентифікували 17 адрес, які контролюються хакером. Сукупні збитки — $8,5 млн.
«Ми сприймаємо цей інцидент не тільки як важливий урок для нас, а й як вирішальний момент для всієї галузі у питаннях кібератак на ланцюги постачання», — підкреслили в Trust Wallet.
Процедура відшкодування коштів
Компанія вже розпочала співпрацю з потерпілими від хакерської атаки. Щоб одержати компенсацію, користувачам необхідно подати запит через офіційну форму підтримки та пройти підтвердження права власності на гаманець.
У Trust Wallet акцентували увагу на складності процесу через великий потік шахраїв. На 2520 постраждалих адрес уже надійшло понад 5000 запитів. Команда закликала користувачів бути терплячими й берегтися від фішингу: офіційна підтримка ніколи не запитує сід-фрази.
З метою запобігання подібним випадкам у майбутньому, проєкт посилив заходи безпеки, зокрема аудит залежностей коду й заміну облікових даних.
Слід нагадати, у 2025 році обсяг коштів, викрадених через фішингові атаки, зменшився на 83%, сягнувши $83,85 млн, згідно з даними SlowMist.