Trust Wallet bestätigte am ersten Weihnachtsfeiertag einen 7-Millionen-Dollar-Angriff auf seine Browsererweiterung und damit einen der größten Wallet-Angriffe des Jahres.
Der Angriff deckte Schwachstellen in einem kürzlich veröffentlichten Update auf, die es böswilligen Akteuren ermöglichten, den Umgang mit privaten Schlüsseln zu kompromittieren und die Gelder der Nutzer über mehrere Netzwerke hinweg abzuziehen.
Trust Wallet erfährt koordinierten Angriff während der Feiertage
Bereits am 25. Dezember meldeten Nutzer unberechtigte Abhebungen von Ethereum-, BNB Chain- und Polygon-Wallets, die mit der Erweiterung verbunden waren. Kurz darauf bemerkten Blockchain-Sicherheitsunternehmen eine merkwürdige Zunahme identischer ausgehender Transaktionen von Adressen, die mit der neuesten Version des Trust Wallet-Browsers verbunden waren.
Die Ermittler brachten den Angriff mit einem Fehler in einem Upgrade in Verbindung, der die Handhabung von Transaktionssignierungsanfragen durch die Erweiterung veränderte. Indem die Angreifer Unterschriftsgenehmigungen an Adressen unter ihrer Kontrolle umleiteten, schienen sie die Kontrolle über diesen Fluss zu übernehmen. Innerhalb weniger Stunden enthüllten On-Chain-Daten einen gut geplanten Raubüberfall auf über 7 Millionen Dollar in Token und Stablecoins, von denen einige bereits durch Mischalgorithmen gefiltert worden waren, um ihr endgültiges Ziel zu verschleiern.
Der Angriff zielte auf die Browser-Umgebung von Trust Wallet, einem zunehmend beliebten Tool für Kunden, die einen schnellen Zugang zu dezentralen Diensten wünschen, obwohl er keine Auswirkungen auf die eigenständige App oder die mobile Kerninfrastruktur des Unternehmens hatte. Der Vorfall bestätigt die Befürchtung, dass Komfortfunktionen, insbesondere solche, die vor einer gründlichen Sicherheitsprüfung implementiert werden, zu blinden Flecken führen können.
Reaktion des Unternehmens
Bis Weihnachten mittags deaktivierte das Entwicklungsteam das betroffene Update und riet den Nutzern der Erweiterung, die Wallets zu trennen, neue Schlüsselpaare zu generieren und alle verbleibenden Guthaben auf sichere Adressen zu übertragen. Trust Wallet leitete außerdem zusammen mit unabhängigen Blockchain-Analysten eine forensische Untersuchung ein, um das gesamte Ausmaß der Sicherheitslücke zu ermitteln und festzustellen, ob eine Kompromittierung der Lieferkette zu der Sicherheitslücke beigetragen hat.
Sicherheitsforscher glauben, dass die Angreifer eine Schwachstelle im Signiermechanismus der Wallet ausgenutzt haben, die unsichtbare Genehmigungen auf bestimmten Webschnittstellen ermöglichte. Einige Experten vermuten einen Injektionsangriff durch kompromittierte Abhängigkeiten oder eine bösartige Code-Bibliothek, die während des Pre-Release-Zyklus bereitgestellt wurde.
Lies mehr: Bitcoin Cash nimmt $680 ins Visier – BCH hält sich über $600
