600 ming dollardan ortiq o‘g‘irlandi: Trust Wallet manba kodi hujumga uchradi, rasmiy versiya nega xakerlar uchun orqa eshikka aylandi?

Asl sarlavha: "Trust Wallet plagin versiyasi hujumga uchrab, 6 million dollardan ortiq zarar ko‘rdi, rasmiylar tezkor yamoq chiqardi"

Asl muallif: ChandlerZ, Foresight News

26-dekabr tongida Trust Wallet xavfsizlik ogohlantiruvini e’lon qildi, unda Trust Wallet brauzer kengaytmasining 2.68 versiyasida xavfsizlik nuqsoni aniqlangani tasdiqlandi. 2.68 versiyasidan foydalanuvchilar darhol kengaytmani o‘chirib, 2.69 versiyasiga yangilashlari kerak. Yangilash uchun rasmiy Chrome Web Store havolasidan foydalaning.

PashShield monitoringiga ko‘ra, Trust Wallet’dagi zaiflikdan foydalangan xakerlar jabrlanuvchilardan 6 million dollardan ortiq kripto aktivlarni o‘g‘irlashgan.

Hozirda o‘g‘irlangan mablag‘larning taxminan 2.8 million dollari xakerning hamyonida (Bitcoin / EVM / Solana) saqlanmoqda, 4 million dollardan ortiq kripto aktivlar esa markazlashtirilgan birjalarga o‘tkazilgan. Jumladan: taxminan 3.3 million dollar ChangeNOW’ga, 340 ming dollar FixedFloat’ga, 447 ming dollar esa Kucoin’ga o‘tkazilgan.

Jabrlangan foydalanuvchilar soni ortib borar ekan, Trust Wallet 2.68 versiyasiga oid kod auditi ham tezda boshlandi. SlowMist xavfsizlik tahlilchilari 2.68.0 (zararlangan) va 2.69.0 (tuzaatilgan) versiyalarining manba kodini taqqoslab, xaker rasmiy plagin ichiga maxfiy ma’lumotlarni yig‘uvchi kod joylashtirganini aniqlashdi va bu kod rasmiy plaginni maxfiylikni o‘g‘irlaydigan orqa eshikka aylantirgan.

Tahlil: Trust Wallet bilan bog‘liq dasturchilar qurilmasi yoki kod ombori xakerlar nazoratiga o‘tgan bo‘lishi mumkin

SlowMist xavfsizlik jamoasi tahliliga ko‘ra, bu hujumning asosiy vositasi Trust Wallet brauzer kengaytmasining 2.68.0 versiyasi bo‘lgan. Tuzatilgan 2.69.0 versiyasi bilan taqqoslanganda, eski versiyada juda yaxshi yashirilgan zararli kod topilgan. Quyidagi rasmga qarang.

Orqa eshik kodi PostHog’ni qo‘shib, hamyon foydalanuvchilarining turli maxfiy ma’lumotlarini (jumladan, mnemonic frazalarni) yig‘ib, xakerlar serveriga api.metrics-trustwallet [.] com ga yuborgan.

Koddagi o‘zgarishlar va zanjirdagi harakatlarga asoslanib, SlowMist bu hujum uchun taxminiy vaqt jadvalini taqdim etdi:

· 8-dekabr: Xakerlar tayyorgarlik ishlarini boshlagan;

· 22-dekabr: Orqa eshik o‘rnatilgan 2.68 versiyasi muvaffaqiyatli ishga tushirilgan;

· 25-dekabr: Rojdestvo ta’tilidan foydalanib, xakerlar o‘g‘irlangan mnemonic frazalar asosida mablag‘larni ko‘chira boshlagan va hodisa fosh bo‘lgan.

Bundan tashqari, SlowMist tahliliga ko‘ra, xakerlar Trust Wallet kengaytmasi kodini juda yaxshi bilgan. E’tiborga molik jihat shundaki, hozirgi tuzatilgan versiya (2.69.0) zararli uzatishni to‘xtatgan bo‘lsa-da, PostHog JS kutubxonasini olib tashlamagan.

Shu bilan birga, SlowMist kompaniyasining bosh axborot xavfsizligi xodimi 23pds ijtimoiy tarmoqlarda shunday yozdi: "SlowMist tahliliga ko‘ra, Trust Wallet bilan bog‘liq dasturchilar qurilmasi yoki kod ombori xakerlar nazoratiga o‘tgan bo‘lishi mumkin, iltimos, zudlik bilan tarmoqdan uzilib, tegishli xodimlarning qurilmalarini tekshiring." U shuningdek ta’kidladi: "Trust Wallet’ning ta’sirlangan versiyasidan foydalanuvchilar avvalo tarmoqdan uzilib, mnemonic frazani eksport qilib, aktivlarni ko‘chirishlari kerak, aks holda onlayn hamyon ochilganda aktivlar o‘g‘irlanadi. Mnemonic frazani zaxiralaganlar avval aktivlarni ko‘chirsin, keyin hamyonni yangilasin."

Plagin xavfsizligi hodisalari tez-tez uchraydi

Shuningdek, u xakerlar Trust Wallet kengaytmasi kodini yaxshi bilganini va foydalanuvchi hamyonidan turli ma’lumotlarni yig‘ish uchun PostHog JS ni joylashtirganini ta’kidladi. Hozirgi Trust Wallet tuzatilgan versiyasi PostHog JS ni olib tashlamagan.

Bu safar Trust Wallet rasmiy versiyasining trojanga aylanishi, so‘nggi yillarda issiq hamyon frontendlariga qaratilgan bir nechta yuqori xavfli hujumlarni eslatdi. Hujum usullari va zaiflik sabablaridan tortib, bu holatlar ushbu voqeani tushunishda muhim nuqtalarni beradi.

· Rasmiy kanallar endi xavfsiz bo‘lmaganda

Bu Trust Wallet hodisasiga eng o‘xshash holat — dasturiy ta’minot ta’minot zanjiri va tarqatish kanallariga qilingan hujumlar. Bunday holatlarda foydalanuvchilar xato qilmagan, hatto "asl dastur"ni yuklab olgani uchun jabrlangan.

Ledger Connect Kit zaharlanishi (2023-yil dekabr): Aparat hamyon giganti Ledger’ning frontend kod ombori xakerlar tomonidan fishing orqali egallab olinib, zararli yangilanish paketi yuklangan. Bu natijada SushiSwap kabi bir nechta yirik dApp frontendlari zarar ko‘rdi va soxta ulanish oynalari paydo bo‘ldi. Bu hodisa "ta’minot zanjiri hujumi"ning darslik namunasi sifatida ko‘riladi va hatto juda ishonchli kompaniyalarning Web2 tarqatish kanallari (masalan, NPM) ham yagona nuqson nuqtasi bo‘lib qolishini ko‘rsatdi.

Hola VPN va Mega kengaytmasi o‘g‘irlanishi (2018-yil): 2018-yilda mashhur VPN xizmati Hola’ning Chrome kengaytmasi ishlab chiquvchi akkaunti xakerlar tomonidan buzilgan. Xakerlar "rasmiy yangilanish" sifatida zararli kodni tarqatgan va MyEtherWallet foydalanuvchilarining shaxsiy kalitlarini kuzatib, o‘g‘irlagan.

· Kod nuqsonlari: Mnemonic frazaning "ochiq" xavfi

Tashqi zaharlanishdan tashqari, hamyonlar mnemonic fraza, shaxsiy kalit kabi maxfiy ma’lumotlarni qayta ishlashdagi xatoliklar ham katta miqdordagi aktivlar yo‘qotilishiga olib kelishi mumkin.

Slope Wallet log tizimi maxfiy ma’lumotlarni yig‘ish mojarosi (2022-yil avgust): Solana ekotizimida katta miqdorda kripto o‘g‘irlanishi sodir bo‘lgan, keyingi tergov hisobotlaridan biri Slope hamyoniga e’tibor qaratgan. Uning ayrim versiyalari Sentry xizmatiga shaxsiy kalit yoki mnemonic frazani yuborgan (Sentry xizmati — Slope jamoasi tomonidan maxfiy o‘rnatilgan xizmat bo‘lib, rasmiy Sentry interfeysi emas). Biroq, xavfsizlik kompaniyalari Slope hamyoniga oid tergovlar natijasida, hodisaning asl sababi Slope hamyonida ekanini aniq isbotlash imkoni yo‘qligini, ko‘plab texnik ishlar bajarilishi kerakligini va hodisaning asl sababini tushuntirish uchun qo‘shimcha dalillar kerakligini bildirgan.

Trust Wallet past entropiyali kalit generatsiyasi zaifligi (CVE-2023-31290 sifatida ochiqlangan, ekspluatatsiya 2022/2023-yillarga taalluqli): Trust Wallet brauzer kengaytmasida yetarli tasodifiylik yo‘qligi aniqlangan: xakerlar faqat 32-bitli urug‘dan foydalanib, muayyan versiyalar doirasida ta’sirlangan hamyon manzillarini samarali aniqlash va mablag‘larni o‘g‘irlashlari mumkin bo‘lgan.

· "Li Kui" va "Li Gui" o‘rtasidagi kurash

Kengaytma hamyonlari va brauzer qidiruv ekotizimida soxta plaginlar, soxta yuklab olish sahifalari, soxta yangilanish oynalari, soxta mijozlarga xizmat ko‘rsatish xabarlari kabi "kulrang" yo‘llar doim mavjud. Foydalanuvchi rasmiy bo‘lmagan kanallardan o‘rnatganida yoki fishing sahifasiga mnemonic fraza/shaxsiy kalit kiritganida, aktivlari bir zumda o‘g‘irlanishi mumkin. Hodisa rasmiy versiyada ham xavf yuzaga kelganda, foydalanuvchi xavfsizlik chegarasi yanada qisqaradi va ikkilamchi firibgarliklar ko‘payadi.

Ushbu maqola yozilayotgan paytda Trust Wallet rasmiylari barcha ta’sirlangan foydalanuvchilardan iloji boricha tezroq versiyani yangilashni so‘ragan. Ammo zanjirda o‘g‘irlangan mablag‘lar harakati davom etar ekan, bu "Rojdestvo talonchiligi"ning oqibatlari hali tugamagan ko‘rinadi.

Slope’ning ochiq loglari yoki Trust Wallet’ning zararli orqa eshigi bo‘ladimi, tarix har doim hayratlanarli darajada o‘xshash. Bu har bir kripto foydalanuvchisiga hech qachon biror dasturiy ta’minotga to‘liq ishonmaslik kerakligini yana bir bor eslatadi. Ruxsatlarni muntazam tekshirish, aktivlarni tarqatib saqlash, g‘ayrioddiy versiya yangilanishlariga hushyor bo‘lish — ehtimol, kripto "qorong‘u o‘rmon"idan omon o‘tishning yagona yo‘li.