Trust Wallet támadása
Karácsony a kriptovilág egyik legjelentősebb biztonsági incidense történt, amikor a Binance tulajdonában álló Trust Wallet Chrome extension 2.68.0-ás verziója káros frissítést kapott, amelybe támadók rosszindulatú kódot rejtettek el. A módosított szoftver telepítését követően kevesebb mint 48 óra alatt mintegy 7 millió dollár értékű kriptovalutát loptak el a felhasználók tárcáiból.
A háttérben egy tudatosan előkészített, supply-chain jellegű támadás állt, a kiterjesztés metadata-ját módosították, eltávolítva a kulcsfontosságú manifest.json aláírási mezőt, és új fájlokat, köztük egy WebAssembly-modult is, adtak hozzá a csomaghoz, amelyeket nem tartalmazott a korábbi, tiszta verzió. Ez arra utal, hogy az illetéktelen szereplők nem egyszerűen kódot injektáltak, hanem újra-csomagolták az egész kiterjesztést egy saját, rosszindulatú kiadási identitással.
A rosszindulatú logika két fő komponensből állt. Az egyik a PostHog SDK-ját úgy módosította, hogy a felhasználói seed phrase-ek és session-adatok egy szerverre kerüljenek kiszivárogtatásra úgy, hogy azok hivatalosnak tűnő analitikai eseményekként jelentek meg a kódban. A másik részletbe ágyazott exfiltrációs logika a wallet feloldási folyamatába épült be, mind a jelszavas, mind a biometrikus belépési ágakba, így bármely felhasználói feloldáskor minden tárcához tartozó seed phrase elküldésre került a támadó szerverre, valójában az összes, a kiterjesztésben tárolt tárca kompromittálódott, ha a fertőzött verzió futott a böngészőben.
Az exfiltrációs infrastruktúra mögött egy bulletproof hostingon keresztül üzemeltetett szerver állt, amely egy ukrán alapú hosztingszolgáltatón keresztül működött, és még egy Synology alapú NAS elérhetőséget is mutatott, ami azt jelzi, hogy a támadók vagy saját eszközüket, vagy kompromittált berendezést használtak a rosszindulatú telemetria fogadására.
A kompromittált verzió 2025. december 24-én délután került ki a Chrome Web Store-ba, és már aznap este az első jelentések érkeztek a drénelésekről, másnap az on-chain kutató ZachXBT és biztonsági elemzők gyorsan azonosították, hogy a frissítés rosszindulatú volt. Trust Wallet ezt követően visszahívta a 2.68.0-át, és 2.69-es biztonsági javítást adott ki, miközben a Binance alapító Changpeng Zhao (CZ) közölte, hogy a Secure Asset Fund for Users alapból megtérítik az érintett felhasználók veszteségeit.
A technikai részletek feltárása azt is jelzi, hogy a támadók több hónappal a karácsony előtt, legalább december 8-ától, felállították az infrastruktúrát, ami arra utal, hogy a beszállítói csatorna kompromittálása tervezett és célzott művelet volt, nem egyszerű automatizált fertőzés.
