Milliós veszteségek a karácsonyi frissítés után
December 24-én jelentek meg az első figyelmeztetések: kriptotárcák kiürültek röviddel azután, hogy a felhasználók telepítették a Trust Wallet Chrome-bővítményének új, 2.68.0-s verzióját. Az első jelentések alapján az eltűnt eszközök összértéke több mint 2 millió dollár (kb. 700 millió forint). Bár a Trust Wallet számos platformon, köztük mobilalkalmazásban is elérhető, csak a Chrome-bővítményt használók váltak a támadás áldozataivá.
Nem hagyható figyelmen kívül, hogy a Trust Wallet széles körben elterjedt: felhasználói több blokkláncon kezelik digitális vagyonukat, és decentralizált alkalmazásokkal is kapcsolatba lépnek. A támadók ezért nagyobb összegekhez is hozzáférhettek. Sokan azonnal jelezték a problémát, egyes bejegyzésekben már a „károk lavinájáról” írtak.
Veszélyes kód akadt horogra
Biztonsági szakértők hamarosan felfedezték, hogy a 2.68.0-s bővítményben akad egy 4482.js nevű JavaScript-fájl, amely rejtett módon továbbítja a pénztárcák adatait egy külső szerverre (api.metrics-trustwallet[.]com). Ennek következtében minden olyan felhasználó, aki beimportálta a helyreállító kifejezését (seed phrase) vagy belépett a tárcába, a hackerekhez juttathatta az azonosítóit, így a támadók könnyedén ki tudták üríteni a tárcákat.
A domainnév mindössze pár napja regisztrált, és nincs bizonyíték arra, hogy bármilyen hivatalos Trust Wallet-érdekeltséghez tartozna. Egy másik biztonsági elemző megerősítette: a kód valóban érzékeny adatokat csempész ki a háttérben. A böngészőbővítmény működése miatt ilyen külső végpont teljesen szokatlan, így gyorsan világossá vált, hogy a frissítés kompromittált lehetett.
Dupla támadás: adathalászat is indult
Amíg a közösség a kármentésen dolgozott, a csalók egy második hullámot is elindítottak. Kamu oldalakkal (pl. fix-trustwallet[.]com) hirdettek sürgős hibajavítást, és azt a látszatot keltették, mintha a Trust Wallet biztonsági csapata ajánlaná a frissítést. Ezeken a hamis oldalakon azonban nemcsak a valódi arculatot másolták le ügyesen — a „frissítés” gombra kattintók előtt azonnal felugrott egy űrlap, ahol a helyreállító kifejezést (seed phrase) kellett megadni. Ezzel pillanatok alatt megszerezhették a bűnözők a teljes vagyon feletti rendelkezést.
A WHOIS-adatokból kiderült, hogy ezeket a domaineket ugyanazzal a regisztrátorral regisztrálták, néhány nappal korábban, mint az eredeti támadó domainnevet. Ez arra utal, hogy a két akció mögött vélhetően ugyanaz a kör áll.
Mit tegyél, ha veszélyben vagy?
A Trust Wallet gyorsan elismerte a hibát, és azt javasolta a Chrome-bővítményt használóknak, hogy mielőbb frissítsék bővítményüket a biztonságos, 2.69-es verzióra. Ennek megfelelően a korábbi verziót ne nyissák meg, és a helyreállító kifejezésüket tekintsék véglegesen sérültnek — a biztonság kedvéért minden maradék pénzt utaljanak át egy vadonatúj, sosem használt tárcára.
Nem hagyható figyelmen kívül, hogy a mobil- és más kiegészítők nem érintettek, kizárólag a hibás Chrome-bővítmény jelent veszélyt. Akik a kompromittált verziót használták, haladéktalanul kapcsolják ki azt, és kövessék végig az alábbi lépéseket: letiltani a bővítményt, frissíteni, majd – csak az új, hivatalos verzióval – biztonságba helyezni a kriptoeszközöket. Ha bármilyen gyanú felmerül, célszerű az ügyfélszolgálattal is felvenni a kapcsolatot. A válasz azonban meglepő lehet: egyelőre nem tudni, lesz-e kártérítés azoknak, akiknek teljesen kiürítették a tárcájukat.
