Lohkoketju-tutkija ZachXBT raportoi 25. joulukuuta, että useilta Trust Walletin käyttäjiltä vietiin luvatta varoja viimeisten tuntien aikana.
Kohteiksi joutuneet käyttäjät kertovat, että omaisuusvaroja vietiin lompakkonsa osoitteista ilman hyväksyntää.
Merkittävä turvallisuusvaroitus Trust Wallet -käyttäjille
ZachXBT:n mukaan tarkkaa syytä ei ole vielä varmistettu. Ajankohta on kuitenkin herättänyt huolta. Tämän päivän tapahtumat seurasivat päivää aiemmin julkaistua Trust Walletin Chrome-laajennuksen päivitystä.
ZachXBT on alkanut keräämään rikokseen liittyviä lompakko-osoitteita ja pyytänyt kohteiksi joutuneita ilmoittautumaan tutkinnan edetessä.
Trust Wallet ei ole vielä julkaissut yksityiskohtaista teknistä selvitystä, mutta tapahtumat ovat nostaneet uudenlaista huomiota selainpohjaisia kryptolompakoita kohtaan.
Chrome-laajennukset toimivat laajennetuilla oikeuksilla. Turvallisuustutkijat ovat toistuvasti varoittaneet, että yksi haitallinen päivitys tai vaarantunut riippuvuus voi altistaa käyttäjät vakaville riskeille.
Viime kuukausina on jo havaittu useita suurellakin profiililla olleita laajennuksiin liittyviä lompakkoriskejä.
Tietoturvayritykset ovat aiemmin varoittaneet väärennetyistä lompakko-laajennuksista, joiden tavoitteena on kerätä seed-lauseet. Näin hyökkääjät voivat palauttaa lompakon ja siirtää varat myöhemmin itselleen.
Joissain tapauksissa haitalliset kaupankäyntiä “helpottavat” laajennukset ovat hiljaisesti muokanneet siirtotoimeksiantoja, ja siirtäneet käyttäjän jokaisessa swapissa pieniä määriä kryptoa hyökkääjälle.
Laajemmin ottaen kyberturvallisuusalan tutkijat ovat dokumentoineet tapauksia, joissa näennäisesti luotettavat selainlaajennukset on myöhemmin päivitetty ruiskuttamaan haitallisia skriptejä, ohjaamaan liikennettä uudelleen tai keräämään arkaluontoisia tietoja.
Vaikka kaikki tapaukset eivät liity suoraan kryptovaluuttoihin, näitä ominaisuuksia voidaan hyödyntää lompakkosessioihin, kirjautumisprosessien manipulointiin tai siirtojen hyväksyntään.
Trust Walletin tapauksesta kerrottaessa kryptovaluutta-yhteisössä on syntynyt välitöntä huolta.
Käyttäjiä kehotetaan tarkistamaan viimeaikaiset tapahtumat, perumaan tarpeettomat oikeudet ja välttämään uusien siirtojen hyväksymistä ennen tilanteen selkeytymistä.
Jos lompakon turvallisuutta epäillään, loput varat suositellaan siirrettäväksi uuteen lompakkoon, joka on luotu uudella seed-lauseella.
Julkaisuhetkellä Trust Wallet ei ole vahvistanut, onko Chrome-laajennuksen päivitys suoraan vastuussa tapauksista.
