Veszélyes frissítés: elszállt a pénz Karácsony után
Ilyen eset például, amikor sok kriptotulajdonos éppen az ünnepek alatt kezdte észrevenni, hogy a Trust Wallet Chrome-bővítménybe belépés után azonnal eltűnnek az érméik. Mint kiderült, december 24-én jelent meg a Trust Wallet Chrome-bővítmény 2.68.0-s verziója, amelybe egy támadó rosszindulatú kódot juttatott be. Ráadásul ezzel a szállítólánc-támadással legalább 7 millió dollárnyi digitális vagyont loptak el néhány nap alatt.
A Trust Wallet világszerte elterjedt, nem letétkezelő tárca, amellyel a felhasználók több blokkláncon kezelhetik és tárolhatják kriptopénzüket. A bővítmény lehetővé teszi a decentralizált alkalmazások (dAppok) használatát is. A botrány gyorsan felkapottá vált, ugyanis egyre többen jelentették, hogy alig egy egyszerű bejelentkezés után az összes pénzük eltűnt. Arra lehet következtetni, hogy a támadás pillanatok alatt súlyos károkat okozott: az első áldozatok beszámolói már 2 millió dolláros lopásról szóltak.
Rejtett kód, új domain – profi támadás
A kiberbiztonsági szakértők pár órán belül felfedezték a problémát: a 2.68.0-s verzióba bekerült egy gyanús JavaScript-fájl (4482.js), amely láthatatlanul küldte el a tárcához tartozó érzékeny adatokat egy külső szerverre (api.metrics-trustwallet[.]com). Bár a támadó az elemzések szerint úgy állította be, mintha csak analitika lenne, valójában a tárca minden mozgását figyelte, majd amikor valaki beírta a helyreállító kulcskifejezését (seed phrase), azonnal továbbította azt a kiberbűnözőknek. A domaint ráadásul csak pár nappal a támadás előtt regisztrálták.
Az ilyen rejtett „metrics” végpont megjelenése egy kriptotárca-bővítményben egészen szokatlan, főleg, hogy ezek az alkalmazások mély hozzáférést kapnak a pénztárcákhoz. A Trust Wallet ezek után tegnap este hivatalosan is elismerte a biztonsági incidenst, és minden Chrome-bővítmény-felhasználót azonnali frissítésre szólított fel. Ráadásul kiderült, hogy hamis oldalak is megjelentek – például a fix-trustwallet[.]com –, amelyek a Trust Wallet logójával helyreállító kulcskifejezést kértek az áldozatoktól, és így még több pénzt csaltak ki a gyanútlan felhasználóktól.
Mit tegyen, aki érintett?
Jelenleg csak a Chrome-bővítmény 2.68.0-s verziója érintett, a mobilalkalmazás és a többi bővítmény nincs veszélyben. A Trust Wallet lépésről lépésre leírta, mit kell tenni:
Először is: ne nyisd meg a veszélyes bővítményt, amíg nem frissítetted!
Lépj a Chrome-bővítmények oldalára (chrome://extensions), kapcsold ki a Trust Walletet, kapcsold be a fejlesztői módot, majd keresd meg a frissítést.
A biztonságos verzió száma: 2.69.
Csak ezzel vagy teljes biztonságban.
Ha valaki már áldozata lett a támadásnak, azonnal mozgassa a maradék pénzét egy új, teljesen friss helyreállító kulcskifejezéssel (seed phrase) létrehozott tárcába. A régi helyreállító kulcskifejezést pedig örökre veszélyesnek kell tekinteni.
Kártalanítanak, de egy világ tanult az esetből
A Binance-alapító Changpeng Zhao jelezte, hogy az okozott kárt a Trust Wallet kifizeti, vagyis a felhasználók pénze végső soron biztonságban van – de csak bonyodalmak és komoly pánik árán. Az eset mindenkit emlékeztet arra: a kriptoeszközök feletti digitális biztonság törékeny, és soha nem szabad ismeretlen helyeken helyreállító kulcskifejezést vagy jelszót megadni.
