Trust Wallet Affronta un'Ondata di Richieste Fraudolente Dopo l'Hack dell'Estensione Chrome da 7 Milioni di Dollari

Il CEO Eowyn Chen ha rivelato lunedì che Trust Wallet ha identificato 2.596 indirizzi di portafoglio compromessi dall'hack del 24 dicembre. Tuttavia, l'azienda ha ricevuto quasi 5.000 reclami per il rimborso—una discrepanza che indica invii fraudolenti diffusi.

"Per questo motivo, la verifica accurata della proprietà del portafoglio è fondamentale per garantire che i fondi vengano restituiti alle persone giuste," ha dichiarato Chen. "Il nostro team sta lavorando diligentemente per verificare i reclami, combinando più punti dati per distinguere le vittime legittime dagli attori malintenzionati."

L'enorme divario tra le vittime effettive e i reclami totali ha costretto Trust Wallet ad abbandonare la velocità a favore dell'accuratezza, segnando un significativo cambiamento operativo in uno degli incidenti di sicurezza crypto più notevoli dell'anno.

Come si è svolto l'attacco

La violazione è iniziata quando gli aggressori hanno ottenuto una chiave API del Chrome Web Store trapelata, permettendo loro di aggirare i controlli di sicurezza interni di Trust Wallet. Il 24 dicembre alle 13:32 UTC, la versione compromessa 2.68 dell'estensione Chrome è stata pubblicata sullo store ufficiale di Google.

Secondo l'analisi della società di sicurezza blockchain SlowMist, il codice dannoso era nascosto con cura all'interno di una libreria di analisi modificata chiamata posthog-js. Quando gli utenti sbloccavano i loro portafogli, il codice estraeva segretamente le loro seed phrase—le chiavi principali dei portafogli di criptovaluta—e le inviava a un server controllato dagli aggressori.

Il dominio utilizzato per raccogliere i dati rubati, "api.metrics-trustwallet.com", è stato registrato l'8 dicembre, suggerendo che l'attacco fosse stato pianificato almeno due settimane prima. L'investigatore di criptovaluta ZachXBT ha segnalato per primo il problema il giorno di Natale dopo che centinaia di utenti hanno segnalato portafogli svuotati.

Fonte: @EowynChen

Trust Wallet ha rilasciato una versione corretta 2.69 il 25 dicembre. La violazione ha colpito solo gli utenti dell'estensione Chrome che hanno effettuato l'accesso prima del 26 dicembre alle 12:00 UTC. Gli utenti dell'app mobile e di altre versioni del browser sono rimasti al sicuro.

La questione dell'insider

Diverse figure del settore hanno sollevato preoccupazioni riguardo al potenziale coinvolgimento di insider nell'attacco. Il co-fondatore di Binance Changpeng Zhao, la cui azienda possiede Trust Wallet, ha affermato che l'exploit è stato "molto probabilmente" eseguito da un insider, anche se non ha fornito prove aggiuntive.

Il co-fondatore di SlowMist Yu Xian ha notato che l'aggressore ha dimostrato una conoscenza dettagliata del codice sorgente dell'estensione e aveva preparato l'infrastruttura settimane prima di eseguire il furto. La capacità di ottenere e utilizzare in modo improprio una chiave API del Chrome Web Store suggerisce dispositivi di sviluppatori compromessi o autorizzazioni di distribuzione rubate.

Chen ha confermato che l'azienda sta conducendo un'indagine forense più ampia insieme al processo di compenso, ma non ha confermato se siano stati coinvolti insider.

Fondi rubati e riciclaggio di denaro

L'attacco ha comportato perdite per circa 7 milioni di dollari su più criptovalute, tra cui Bitcoin, Ethereum e Solana. La società di sicurezza blockchain PeckShield ha tracciato più di 4 milioni di dollari dei fondi rubati che si spostavano attraverso exchange centralizzati come ChangeNOW, FixedFloat e KuCoin. Circa 2,8 milioni di dollari rimanevano nei portafogli controllati dagli aggressori al 26 dicembre.

Il rapido movimento dei fondi attraverso più exchange e reti blockchain ha complicato gli sforzi di recupero e reso più difficile rintracciare gli aggressori.

Processo di compenso sotto esame

Il fondatore di Binance Zhao si è impegnato a coprire tutte le perdite verificate, affermando "i fondi degli utenti sono SAFU"—un termine del settore crypto che significa "Secure Asset Fund for Users". Tuttavia, il processo di verifica è diventato più complesso del previsto.

Trust Wallet richiede agli utenti interessati di inviare informazioni dettagliate attraverso un modulo di supporto ufficiale, inclusi indirizzi e-mail, indirizzi di portafoglio compromessi, indirizzi degli aggressori e hash delle transazioni. L'azienda ha sottolineato che l'accuratezza ora ha la priorità sulla velocità.

L'aumento dei reclami falsi evidenzia un problema ricorrente negli incidenti di sicurezza delle criptovalute. Mentre la trasparenza della blockchain consente di tracciare gli incidenti, collegare gli indirizzi dei portafogli agli utenti verificati senza registri centralizzati rimane impegnativo. Questa tensione diventa acuta quando sono in gioco milioni di dollari.

Chen ha affermato che il team sta combinando più metodi di verifica per valutare i reclami, ma non ha dettagliato i criteri specifici utilizzati. La fase di verifica rappresenta un test critico per verificare se Trust Wallet può filtrare con successo le richieste fraudolente mantenendo la fiducia tra le vittime genuine.

Avviso sulle truffe secondarie

Trust Wallet ha emesso avvisi urgenti sui truffatori che sfruttano la situazione. L'azienda ha riferito di aver visto moduli di compenso falsi diffusi attraverso pubblicità su Telegram, account di supporto impersonati e messaggi diretti che richiedono chiavi private o seed phrase.

Il processo di compenso ufficiale non richiede mai password, chiavi private o frasi di recupero. Gli utenti dovrebbero inviare reclami solo attraverso il portale di supporto verificato di Trust Wallet su trustwallet-support.freshdesk.com. Qualsiasi altra comunicazione che affermi di offrire rimborsi dovrebbe essere trattata come fraudolenta.

Questa seconda ondata di truffe aggiunge un ulteriore livello di rischio per le vittime che già affrontano fondi rubati. L'azienda ha sottolineato che gli utenti dovrebbero verificare che tutte le comunicazioni provengano dai canali ufficiali di Trust Wallet prima di intraprendere qualsiasi azione.

Implicazioni di sicurezza più ampie

L'incidente di Trust Wallet si inserisce in un modello più ampio di attacchi alla supply chain rivolti agli utenti di criptovaluta nel 2024. Secondo i dati di Chainalysis, il furto di criptovaluta ha raggiunto 6,75 miliardi di dollari nel 2024, con compromissioni di portafogli personali aumentate a 158.000 da 64.000 dell'anno precedente.

Le estensioni del browser presentano sfide di sicurezza uniche perché operano con autorizzazioni elevate e possono accedere a dati utente sensibili. Un singolo aggiornamento compromesso può colpire centinaia di migliaia di utenti in poche ore.

L'incidente dimostra anche come processi di verifica deboli possano trasformare una singola violazione di sicurezza in problemi multipli. Trust Wallet deve ora dedicare risorse significative al filtraggio dei reclami falsi mentre le vittime genuine attendono il compenso.

L'estensione Chrome di Trust Wallet ha circa un milione di utenti secondo la sua lista ufficiale, sebbene l'esposizione pratica dipenda da quante persone hanno installato la versione 2.68 e inserito dati sensibili durante la finestra vulnerabile.

La strada da seguire

Trust Wallet ha intrapreso diverse misure per prevenire futuri incidenti. L'azienda ha fatto scadere tutte le API di rilascio per bloccare aggiornamenti di versioni non autorizzate per le prossime due settimane. Il dominio dannoso utilizzato per raccogliere i dati rubati è stato segnalato al suo registrar e prontamente sospeso.

Tuttavia, rimangono domande su come gli aggressori abbiano ottenuto la chiave API del Chrome Web Store e se verranno implementate misure di sicurezza aggiuntive. L'indagine forense in corso potrebbe fornire risposte, ma Trust Wallet non ha annunciato modifiche specifiche al suo processo di rilascio.

Per gli utenti di criptovaluta, l'incidente rafforza l'importanza di trattare gli aggiornamenti dei portafogli con estrema cautela. Gli esperti di sicurezza raccomandano di attendere la conferma della comunità prima di installare aggiornamenti e di considerare portafogli hardware per partecipazioni significative.

Il processo di compenso continua mentre Trust Wallet lavora attraverso migliaia di reclami. La capacità dell'azienda di identificare con precisione le vittime legittime bloccando al contempo le richieste fraudolente probabilmente influenzerà il modo in cui altri fornitori di portafogli gestiranno futuri incidenti di sicurezza.

Verifica della realtà

La violazione di Trust Wallet espone due vulnerabilità critiche nella sicurezza delle criptovalute: gli attacchi alla supply chain possono aggirare anche sistemi di sicurezza ben progettati, e i processi di compenso stessi diventano bersagli di frode. Mentre Trust Wallet naviga la verifica di quasi 5.000 reclami per 2.596 vittime effettive, l'incidente serve come costoso promemoria che nella sicurezza crypto, la pulizia può essere altrettanto impegnativa quanto la violazione stessa.