Mahigit $6 milyon ang nanakaw: Ang source code ng Trust Wallet ay inatake, bakit naging backdoor ng hacker ang opisyal na bersyon?

Orihinal na Pamagat: "Trust Wallet Plugin Version Na-hack, Nawalan ng Mahigit $6 Million, Opisyal na Naglabas ng Patch"

Orihinal na May-akda: ChandlerZ, Foresight News

Noong umaga ng Disyembre 26, naglabas ang Trust Wallet ng security alert, kinumpirma nilang may security vulnerability ang Trust Wallet browser extension na bersyon 2.68. Ang mga gumagamit ng bersyon 2.68 ay dapat agad na i-disable ang extension at mag-upgrade sa bersyon 2.69. Mangyaring mag-upgrade gamit ang opisyal na Chrome Web Store link.

Ayon sa monitoring ng PeckShield, ang hacker na nagsamantala sa Trust Wallet vulnerability ay nakapagnakaw na ng mahigit $6 million na crypto assets mula sa mga biktima.

Sa kasalukuyan, humigit-kumulang $2.8 million ng ninakaw na pondo ay nananatili pa rin sa wallet ng hacker (Bitcoin / EVM / Solana), habang mahigit $4 million na crypto assets ang nailipat na sa mga centralized exchange platforms, kabilang ang: humigit-kumulang $3.3 million sa ChangeNOW, humigit-kumulang $340,000 sa FixedFloat, at humigit-kumulang $447,000 sa Kucoin.

Habang dumarami ang mga biktima, agad ding sinimulan ang code audit para sa Trust Wallet 2.68 version. Ang security analysis team na SlowMist, sa pamamagitan ng paghahambing ng source code ng 2.68.0 (infected version) at 2.69.0 (fixed version), ay natuklasan na naglagay ang hacker ng tila lehitimong data collection code, na ginawang backdoor ang opisyal na plugin para magnakaw ng privacy.

Pagsusuri: Maaaring Nakontrol ng Atacante ang Device o Code Repository ng Trust Wallet Developer

Ayon sa analysis ng SlowMist security team, ang pangunahing carrier ng atake ay tiyak na ang Trust Wallet browser extension 2.68.0 version. Sa paghahambing sa naayos na 2.69.0 version, natuklasan ng security personnel ang isang napaka-disguised na malicious code sa lumang bersyon. Tingnan ang larawan.

Ang backdoor code ay nagdagdag ng PostHog upang mangolekta ng iba't ibang privacy information ng wallet user (kabilang ang mnemonic phrase), at ipinapadala ito sa server ng attacker na api.metrics-trustwallet [.] com.

Batay sa pagbabago ng code at on-chain activity, nagbigay ang SlowMist ng tinatayang timeline ng atake:

· Disyembre 08: Nagsimula ang attacker ng mga kaugnay na paghahanda;

· Disyembre 22: Matagumpay na nailunsad ang 2.68 version na may backdoor;

· Disyembre 25: Gamit ang Christmas holiday, sinimulan ng attacker na ilipat ang pondo gamit ang nanakaw na mnemonic phrase, at pagkatapos ay nabunyag ang insidente.

Dagdag pa rito, ayon sa analysis ng SlowMist, mukhang pamilyar ang attacker sa extension source code ng Trust Wallet. Kapansin-pansin, ang kasalukuyang fixed version (2.69.0) ay pinutol na ang malicious transmission, ngunit hindi pa rin tinanggal ang PostHog JS library.

Kasabay nito, nag-post sa social media ang Chief Information Security Officer ng SlowMist na si 23pds, "Ayon sa analysis ng SlowMist, may dahilan para maniwala na maaaring nakontrol ng attacker ang device o code repository ng Trust Wallet developer, kaya't agad na i-disconnect sa internet at suriin ang mga kaugnay na device." Binanggit din niya, "Ang mga user ng apektadong Trust Wallet version ay dapat munang mag-disconnect sa internet bago i-export ang mnemonic phrase at ilipat ang asset, kung hindi, kapag binuksan online ang wallet ay maaaring manakaw ang asset. Kung may backup ng mnemonic phrase, tiyaking ilipat muna ang asset bago i-upgrade ang wallet."

Madalas na Nangyayari ang Plugin Security Incidents

Dagdag pa niya, mukhang pamilyar ang attacker sa extension source code ng Trust Wallet, at naglagay ng PostHog JS upang mangolekta ng iba't ibang impormasyon ng wallet user. Sa kasalukuyan, hindi pa rin tinatanggal ng Trust Wallet fixed version ang PostHog JS.

Ang opisyal na bersyon ng Trust Wallet na naging trojan ay nagpaalala sa merkado ng ilang high-risk attacks sa mga hot wallet frontend nitong mga nakaraang taon. Mula sa attack methods hanggang sa sanhi ng vulnerability, nagbibigay ang mga kasong ito ng mahalagang reference para maunawaan ang insidenteng ito.

· Kapag Hindi na Ligtas ang Opisyal na Channel

Ang pinakakatulad na insidente sa Trust Wallet event na ito ay ang mga pag-atake sa software supply chain at distribution channels. Sa mga ganitong insidente, hindi nagkamali ang user, kundi naging biktima pa dahil sa pag-download ng "official software".

Ledger Connect Kit poisoning incident (Disyembre 2023): Ang hardware wallet giant na Ledger ay na-hack ang frontend code repository nito sa pamamagitan ng phishing, at nag-upload ng malicious update package. Dahil dito, ilang top dApps kabilang ang SushiSwap ang naapektuhan, nagpakita ng fake connection window. Ang insidenteng ito ay itinuturing na textbook case ng "supply chain attack", na nagpapatunay na kahit ang mga kumpanyang may mataas na security reputation, ang kanilang Web2 distribution channels (tulad ng NPM) ay high-risk single point of failure pa rin.

Hola VPN at Mega extension hijacking (2018): Noong 2018, na-hack ang Chrome extension developer account ng kilalang VPN service na Hola. Nag-push ang hacker ng "official update" na may malicious code, na partikular na nagmo-monitor at nagnanakaw ng private key ng MyEtherWallet users.

· Code Defect: Ang "Exposed" na Panganib ng Mnemonic Phrase

Maliban sa external poisoning, ang mga implementation defect ng wallet sa paghawak ng mnemonic phrase, private key, at iba pang sensitibong data ay maaari ring magdulot ng malawakang asset loss.

Slope Wallet log system sensitive information controversy (Agosto 2022): Sa Solana ecosystem, nagkaroon ng malawakang crypto theft incident. Isa sa mga focus ng post-incident investigation ay ang Slope wallet, na sa isang bersyon ay nagpapadala ng private key o mnemonic phrase sa Sentry service (ang Sentry service ay tumutukoy sa privately deployed Sentry service ng Slope team, hindi ang opisyal na Sentry interface at service). Gayunpaman, ayon sa security companies, hanggang ngayon ay hindi pa rin matukoy ang root cause ng insidente sa Slope wallet, at kailangan pa ng mas maraming technical work at ebidensya upang maipaliwanag ang tunay na dahilan ng insidente.

Trust Wallet low entropy key generation vulnerability (na-disclose bilang CVE-2023-31290, exploitation traced back to 2022 / 2023): Na-disclose na may kakulangan sa randomness ang Trust Wallet browser extension: maaaring samantalahin ng attacker ang enumerability ng 32-bit seed upang mabilis na matukoy at mahulaan ang mga posibleng apektadong wallet address sa loob ng partikular na version range, at manakaw ang pondo.

· Ang Labanan ng "Tunay" at "Pekeng" Plugin

Matagal nang may grey industry chain ng fake plugins, fake download pages, fake update popups, at fake customer service DMs sa extension wallet at browser search ecosystem. Kapag nag-install ang user mula sa non-official channel, o nag-input ng mnemonic phrase/private key sa phishing page, maaaring agad na maubos ang asset. Kapag maging ang opisyal na bersyon ay nagkakaroon ng risk, lalo pang lumiit ang security boundary ng user, at madalas na dumarami ang secondary scams sa ganitong kaguluhan.

Hanggang sa oras ng paglalathala, hinikayat na ng Trust Wallet ang lahat ng apektadong user na agad tapusin ang version update. Ngunit habang patuloy ang abnormal na galaw ng ninakaw na pondo on-chain, malinaw na hindi pa tapos ang "Christmas heist" na ito.

Maging ito man ay plain text log ng Slope o malicious backdoor ng Trust Wallet, nakakagulat na paulit-ulit ang kasaysayan. Muling pinaaalalahanan nito ang bawat crypto user na huwag basta-basta magtiwala sa isang software terminal lamang. Ang regular na pag-check ng authorization, pag-diversify ng asset storage, at pagiging alerto sa abnormal version updates ay maaaring maging survival rule sa paglalakbay sa madilim na gubat ng crypto.