Пользователи Trust Wallet потеряли $7 млн из-за взлома легального расширения проекта в Chrome

Пользователи Trust Wallet потеряли $7 млн в виде криптовалюты из-за взлома легального расширения проекта Chrome, выпущенного 24 декабря. Компания пообещала покрыть убытки.

Trust Wallet — это широко используемый некастодиальный криптовалютный кошелёк, позволяющий пользователям хранить активы в различных блокчейнах, управлять ими и взаимодействовать с ними. Кошелёк доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями.

Аналитики безопасности Akinator призвали на некоторое время воздержаться от использования расширения Trust Wallet для Chrome.

Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря — незадолго до того, как начали появляться сообщения о краже криптовалюты с кошельков. Позже в этой версии обновления обнаружили подозрительный код. Он содержится в файле JavaScript под названием 4482.js и предназначен для передачи конфиденциальных данных кошелька на внешний сервер, размещённый по адресу api.metrics-trustwallet[.]com.

Исследователь в области кибербезопасности Эндрю Мохок подтвердил, что конечная точка была связана с тайной передачей конфиденциальной информации.

Согласно общедоступным данным WHOIS, родительский домен metrics-trustwallet[.].com был зарегистрирован всего за несколько дней до инцидента. К настоящему момент нет подтверждения, что этот домен принадлежит или управляется Trust Wallet.

Компания сообщила, что инцидент затронул только версию 2.68.0 расширения для Chrome. Trust Wallet посоветовала пользователям немедленно обновиться до 2.69.0 для решения проблемы. Оператор не уточнил точное число пострадавших клиентов и общую сумму украденной криптовалюты.

Издание BleepingComputer обнаружило параллельную