Пояснення зламу TrustWallet: від оновлення до витоку коштів на суму $16M у $TWT, BTC, ETH

Що саме сталося під час інциденту з Trust Wallet

Крок 1: Вийшло оновлення розширення браузера

24 грудня було випущено нове оновлення для розширення Trust Wallet.

• Оновлення здавалося рутинним.

• Не супроводжувалося серйозними попередженнями щодо безпеки.

• Користувачі встановлювали його через звичайний процес оновлення.

На цьому етапі нічого не здавалося підозрілим.

Крок 2: До розширення додали новий код

Після оновлення дослідники, що аналізували файли розширення, помітили зміни у файлі JavaScript, відомому як 4482.js.

Ключове спостереження:

• Новий код не був у попередніх версіях.

• Він вводив мережеві запити, пов’язані з діями користувача.

Це важливо, оскільки браузерні гаманці — дуже чутливі середовища; будь-яка нова вихідна логіка несе високий ризик.

Крок 3: Код маскувався під “Аналітику”

Доданий логіка з’являлася як код аналітики або телеметрії.

Зокрема:

• Це виглядало як трекінг-логіка, що використовується популярними SDK аналітики.

• Вона не активувалася щоразу.

• Вона запускалася лише за певних умов.

Цей дизайн ускладнював виявлення під час випадкових тестів.

Крок 4: Умова спрацьовування — імпорт фрази насіння

Реверс-інженери з ком’юніті припускають, що логіка активувалася, коли користувач імпортував фразу насіння у розширення.

Чому це критично:

• Імпорт фрази насіння дає гаманцю повний контроль.

• Це одноразовий, високовартісний момент.

• Зловмисний код потрібно активувати лише один раз.

Користувачі, які використовували лише існуючі гаманці, можливо, не активували цей шлях.

Крок 5: Дані гаманця були відправлені зовні

Коли спрацьовувала умова, код нібито надсилав дані на зовнішню точку:

metrics-trustwallet[.]com

Що викликало тривогу:

• Домен дуже нагадував легітимний піддомен Trust Wallet.

• Він був зареєстрований лише кілька днів тому.

• Його не було публічно задокументовано.

• Пізніше він зник з мережі.

Принаймні, це підтверджує несподівану вихідну комунікацію з розширенням гаманця.

Крок 6: Зловмисники діяли одразу

Зовсім після імпорту фрази користувачі повідомляли:

• Гаманці були опустошені за кілька хвилин.

• Багато активів швидко переміщувалися.

• Не потрібно було додаткових дій користувача.

Поведіночий аналіз показав:

• Автоматизовані шаблони транзакцій.

• Багато цільових адрес.

• Відсутність очевидного процесу підтвердження фішингу.

Це свідчить про те, що зловмисники вже мали достатній доступ для підписання транзакцій.

Крок 7: Фонди консолідувалися через кілька адрес

Вкрадені активи маршрутизувалися через кілька гаманців, контрольованих зловмисниками.

Чому це важливо:

• Це свідчить про координацію або скриптову автоматизацію.

• Це зменшує залежність від однієї адреси.

• Це відповідає поведінці організованих експлойтів.

За оцінками, на основі відслідкованих адрес, було переміщено мільйони доларів, хоча суми варіюються.

Крок 8: Домен зник

Після зростання уваги:

• Підозрілий домен перестав відповідати.

• Негайно не було публічного пояснення.

• Скриншоти та кешовані докази стали вирішальними.

Це відповідає поведінці зловмисників, які знищують інфраструктуру після викриття.

Крок 9: Офіційне визнання пізніше

Trust Wallet згодом підтвердив:

• Інцидент безпеки вплинув на конкретну версію розширення.

• Мобільні користувачі не постраждали.

• Користувачам рекомендується оновити або відключити розширення.

Однак одразу не було надано повного технічного аналізу, щоб пояснити:

• Чому існував цей домен.

• Чи були скомпрометовані фрази насіння.

• Чи це була внутрішня, стороння або зовнішня проблема.

Цей пробіл сприяв подальшим спекуляціям.

Що підтверджено

• Оновлення розширення браузера ввело нову вихідну поведінку.

• Користувачі втратили кошти незабаром після імпорту фраз.

• Інцидент був обмежений конкретною версією.

• Trust Wallet визнав проблему безпеки.

Що є підозрілим

• Проблема ланцюга постачання або інжекція зловмисного коду.

• Витік фраз насіння або можливість підписання.

• Зловживання або озброєння логіки аналітики.

Що досі невідомо

• Чи був код навмисно зловмисним або скомпрометованим на верхньому рівні.

• Скільки користувачів постраждало.

• Чи було вкрадено інші дані.

• Точна атрибуція зловмисників.

Чому цей інцидент важливий

Це був не типовий фішинг.

Він підкреслює:

• Загрозу браузерних розширень.

• Ризик сліпо довіряти оновленням.

• Як аналітичний код може бути зловживаний.

• Чому обробка фраз насіння — найважливіший момент у безпеці гаманця.

Навіть короткочасна уразливість може мати серйозні наслідки.