Криптокошелёк Trust Wallet столкнулся с новыми сложностями в процессе возмещения средств пользователям, пострадавшим от масштабного взлома 25 декабря. Компания была вынуждена временно удалить своё расширение для браузера Chrome из официального магазина Google из-за технической ошибки в процессе публикации обновления. Это обновление содержало критически важный инструмент верификации для пострадавших клиентов, что привело к задержке запуска процедуры компенсаций.
Генеральный директор Trust Wallet Эовин Чен сообщила, что сбой произошёл из-за ошибки в системе Chrome Web Store при попытке выпустить новую версию расширения. «Мы столкнулись с ошибкой Chrome Web Store при выпуске новой версии, которая включает функцию, помогающую заявителям на возмещение отправлять коды верификации из своего расширения», — написала Чен в социальной сети X. Google подтвердил проблему и занимается её решением.
Задержка усугубляет ситуацию вокруг инцидента с безопасностью, который произошёл в рождественские праздники. 25 декабря злоумышленники распространили через Chrome Web Store вредоносную версию расширения Trust Wallet (версия 2.68). Скомпрометированное расширение позволяло атаковать доступ к конфиденциальным данным кошельков и выполнять несанкционированные транзакции.
Внутреннее расследование Trust Wallet показало, что под удар попали только пользователи, установившие версию 2.68 и авторизовавшиеся в своих кошельках в период с 24 по 26 декабря. Владельцы мобильных приложений, пользователи других версий расширения, а также те, кто установил или вошёл в систему после 26 декабря, не пострадали. Компания идентифицировала 2 520 адресов кошельков, с которых были выведены средства. Общая сумма потерь оценивается примерно в $8,5 млн, связанных с 17 кошельками, контролируемыми злоумышленниками.
Исследователи безопасности подтвердили, что вредоносная сборка выглядела легитимной и прошла процесс проверки Chrome, но содержала скрытый код, способный извлекать сид-фразы. По сообщениям пользователей, простой импорт сид-фразы в расширение мгновенно запускал вывод средств через несколько блокчейнов.
Trust Wallet связал взлом с более широкой цепочкой поставок под названием Sha1-Hulud, которая была обнаружена в ноябре и затронула несколько компаний через скомпрометированные инструменты разработки. Утечка секретов GitHub и ключа API Chrome Web Store позволила злоумышленнику загрузить вредоносное расширение напрямую, минуя внутренние проверки.
В ответ компания откатилась к чистой версии, выпустила версию 2.69 и отключила скомпрометированные учётные данные для публикации. 29 декабря был открыт официальный процесс подачи заявок на возмещение через специальный портал поддержки. Однако компания столкнулась с неожиданной проблемой: при подтверждённых 2 520–2 596 пострадавших адресах было получено около 5 000 заявок. Такое несоответствие указывает на большое количество дубликатов или мошеннических попыток получить компенсацию. Именно для борьбы с этим и был разработан дополнительный механизм верификации, внедрение которого теперь отложено.
Некоторые эксперты, включая советника по блокчейну Энди Лиана, высказали предположение о возможном участии инсайдера в атаке, учитывая глубокое понимание злоумышленником кодовой базы и среды разработки Trust Wallet. Компания предупредила пользователей о необходимости бдительности в отношении поддельных расширений, имитирующих Trust Wallet, и рекомендует не загружать никакие версии расширения до официального восстановления в магазине.
