Расширение-криптокошелек к браузеру Chrome обчистили на $7 миллионов
Принадлежащий Binance криптокошелёк Trust Wallet, точнее его расширение под Chrome, скомпрометировано, злоумышленники вывели $7 млн. Binance обещает возместить убытки. Есть подозрение, что за ограблением стоял инсайдер.
Трест, который лопнул
Крипторасширение к браузеру Chrome Trust Wallet содержало уязвимость, которая обошлась множеству пользователей в крупную сумму: хакерам удалось угнать около $7 млн. Корпорация Binance, которой принадлежит Trust Wallet, обещает компенсировать все потери.
Trust Wallet — это криптокошелёк, предлагаемый во множестве разных форматов, в том числе как расширение к браузерам.
Версия 2.68 для Chrome, как выяснилось, допускала вывод средств без надлежащей авторизации.
Каким образом это произошло и что за эксплойт использовался, остаётся пока загадкой.
Из расширения Chrome — принадлежащего Binance криптокошелька Trust Walle злоумышленники вывели $7 млн
Исследователь ZachXBT, который первым обнаружил несанкционированные транзакции, отследил их к одному конкретному кошельку, который, по-видимому, принадлежит злоумышленникам.
Они сразу же приступили к «распылению» средств на множество других кошельков, переводя те малыми порциями.
Разработчикам Trust Wallet ещё предстоит объясниться, каким образом подобное стало возможным. Пока они ограничились лишь инструкциями по обновлению расширения.
Особой важности ценные указания
Причём эти инструкции довольно своеобразны. Разработчики настаивают на том, чтобы пользователи не открывали расширение Trust Wallet на десктопах, если оно не обновлено до версии 2.69.
Вместо этого версию 2.68 предлагается отключить в панели расширений Chrome Extensions, для чего понадобится найти адрес chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph (это официальный ) и перевести расширение в режим off. Затем потребуется перейти в режим разработчика (Developer mode) и нажать кнопку Update (Обновить).
Удостоверившись, что расширение теперь носит индекс 2.69, его можно активировать.
Официальные аккаунты Trust Wallet пока не публиковали прочих комментариев, но (формально) бывший исполнительный директор Binance Чан-Пен Чжао (Changpeng Zhao) уже успел заявить, что все потери будут компенсированы, добавив, что разработчики «всё ещё расследуют, каким образом хакерам удалось подсунуть новую версию». Это явное указание на то, что имела место атака на цепочку поставок, или что в деле замешан инсайдер. Чан-Пен Чжао подтвердил, что последнее — «наиболее вероятный сценарий».
Издание crypto.news указывает на то, что в последние месяцы северокорейские хакеры с нарастающей частотой пытаются внедриться в криптобизнес в качестве разработчиков и других ИТ-работников.
«Похоже, инсайдерская атака — это главная рабочая версия, хотя не стоило бы исключать и другие варианты, — отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. — Улов злоумышленников сравнительно невелик по сравнению с другими взломами, о которых стало известно на протяжении уходящего года. Разработчики Trust Wallet ещё не опубликовали результаты полного дознания со всеми техническими подробностями, и то, что версия 2.69 расширения безопасна, известно только с их собственных слов».
Мобильные версии и другие варианты расширений к браузерам, по утверждению Trust Wallet, проблемы не содержат и скомпрометированы не были.
