Через официальный апдейт Trust Wallet хакеры забрали 7 млн долларов

Пока нормальные люди 24 декабря готовились к новогодним, пользователи популярного криптокошелька Trust Wallet получили неприятный подарочек. Официальное расширение для Chrome обновилось до версии 2.68.0 и начало сливать сид-фразы пользователей на левый сервер.

Злоумышленники (или кто-то, кто угнал аккаунт разраба) внедрили вредоносный код в файл `4482.js`. Скрипт маскировался под сбор метрик и отправлял данные на свежезарегистрированный домен `api.metrics-trustwallet[.]com`. Google Web Store, как обычно, ничего подозрительного не заметил и радостно раскатил малварь на тысячи браузеров. Итог... $7 миллионов украдено за пару часов у криптанов, которые так и не дождались альтсезона.

А дальше самое смешное... пока в твиторе начиналась паника, хакеры запустили сайт-фейк `fix-trustwallet[.]com`. Там испуганным криптанам предлагали скачать патч безопасности ?, для установки которого требовалось... ввести свою сид-фразу. Получилось грамотно - сначала ограбить через автоапдейт, а потом добить тех, кто побежал гуглить решение проблемы. Социальная инженерия ?

Владельцы (Binance) уже откатили версию до чистой 2.69 и пообещали компенсировать убытки (Funds are SAFU). Но урок усвоен... хранить ключи от денег в браузерном расширении, которое может обновиться в любой момент без вашего ведома - лучше не надо. Куда надёжней аппаратный ключ и спокойный сон.

Источник: vk.com

Комментарии: