Ризик за зловмисним скриптом: Як прихований код захопив приватні ключі в Trust Wallet

Що таке скрипт і чому розширення Chrome Trust Wallet зазнало атаки за допомогою шкідливого коду? Оновлення v2.68, випущене 24 грудня, містило підозрілу логіку JavaScript, розроблену для передачі секретів гаманця на зовнішні сервери. Дослідники виявили посилання на файл під назвою “4482.js” у постраждалому пакеті, підтвердивши, що скрипт працював за допомогою обфускації для уникнення виявлення.

Масштаб інциденту: від 6 до 7 мільйонів доларів збитків

Trust Wallet пізніше підтвердив, що приблизно 7 мільйонів доларів було викрадено під час інциденту. Компанія швидко відреагувала, випустивши версію v2.69 25 грудня як заходи щодо усунення проблеми. За повідомленнями жертв і дослідників, крадіжки почалися через кілька годин після випуску v2.68, викликавши публічні попередження щодо потенційного масштабу компрометації.

Інформація про розширення у Chrome Web Store вказує приблизно 1 000 000 зареєстрованих користувачів, що встановлює теоретичний максимум для потенційної експозиції. Однак практична уразливість залежала від кількості користувачів, які ввели фразу семени під час активної версії з уразливістю у їхніх браузерах.

Хто був у реальній зоні ризику: важливість фрази семени

Дослідники наголосили, що найбільший ризик мали користувачі, які імпортували або вводили фразу семени після встановлення v2.68. Фраза семени — це головний ключ, здатний розблокувати всі поточні та майбутні адреси, похідні від неї, що робить її пріоритетною ціллю для будь-якого зловмисника.

Шкідливий скрипт був спеціально розроблений для захоплення такого роду чутливих даних. Хоча інші компоненти розширення (мобільні версії та інші дистрибутиви) не були уражені, браузерна версія Chrome зосередила всю експозицію протягом періоду вразливості.

Кроки відновлення: оновлення — недостатньо, якщо ваша фраза семени була скомпрометована

Ця різниця є критичною для користувачів. Оновлення до v2.69 усуває шкідливу логіку з скрипта, але автоматично не захищає активи, якщо фраза семени вже була передана зловмисникам.

Для користувачів, які ввели фразу семени під час роботи v2.68, стандартні кроки включають:

• Створити новий гаманець з абсолютно новою фразою семени
• Перевести всі кошти на нові адреси, похідні від неї
• Скасувати дозволи на токени там, де це можливо, у блокчейні
• Вважати будь-який пристрій, що керував фразою семени, потенційно скомпрометованим до підтвердження

Ці дії вимагають значних операційних витрат, включаючи газові комісії за кілька транзакцій між ланцюгами та ризики, пов’язані з мостами активів під час міграції.

Модель довіри до розширень: слабке місце у безпеці екосистеми

Розширення браузера займають унікальну і вразливу позицію: вони можуть отримати доступ до тих самих інтерфейсів, що й користувачі для перевірки транзакцій. Академічні дослідження показали, що шкідливі скрипти можуть обходити автоматичні перевірки у Chrome Web Store і що ефективність систем виявлення з часом знижується, оскільки зловмисники вдосконалюють свої тактики.

Інцидент підкреслює необхідність впровадження більш надійних контролів цілісності збірки, включаючи відтворювані збірки, підписання ключами з розділеними ключами та чітко задокументовані опції відкату у випадках надзвичайних ситуацій.

Моделі розвитку інциденту: прогнози щодо кінцевого масштабу

Загальна сума збитків залишається змінною, залежною від пізніх виявлень жертв і перекласифікації адрес у ланцюгу. Дослідники прогнозують сценарії на найближчі 2–8 тижнів:

Ключовими змінними є, чи обмежувалася крадіжка секретів лише введенням фрази семени під час v2.68, чи були знайдені додаткові шляхи експозиції, і швидкість видалення імітаторських доменів, що намагаються обдурити користувачів, пропонуючи фальшиві рішення.

Реакція ринку та рекомендації негайних дій

Ціна Trust Wallet Token (TWT) закрилася на $0.87, що на 2.24% менше за попередні 24 години, з внутрішньоденним максимумом $0.90 і мінімумом $0.86. Ринок відреагував помірною волатильністю, без чіткої односторонньої переоцінки.

Рекомендації для користувачів:

1. Негайно вимкніть розширення v2.68, якщо воно ще встановлено
2. Оновіть до v2.69 з офіційного Chrome Web Store
3. Визначте, чи вводили ви фразу семени під час активності v2.68 — це критичне питання
4. Якщо так: мігруйте свої кошти на новий гаманець; якщо ні: оновлення достатньо
5. Ігноруйте будь-яке спілкування, що не походить з офіційних каналів Trust Wallet, оскільки шахраї намагаються видавати себе за команду під час усунення проблем

Trust Wallet підтвердив свою готовність повернути кошти всім постраждалим користувачам і найближчим часом опублікує детальні інструкції щодо процесу відновлення.