Trust Wallet ha riconosciuto un incidente di sicurezza critico che ha colpito la versione 2.68 della sua estensione del browser, dopo che sono emerse numerose segnalazioni della comunità a partire da Natale. L’incidente sembra essere stato causato da un attacco alla catena di approvvigionamento che ha compromesso un aggiornamento recente, esponendo gli utenti a un’immediata perdita di fondi dopo aver importato le loro frasi di seed.
La scoperta dell’incidente
I primi segni pubblici di problemi sono arrivati dal ricercatore di blockchain @0xakinator, che ha emesso un avvertimento su X il 25 dicembre. Nell’avvertimento, Akinator ha affermato che la versione 2.68 dell’estensione di Trust Wallet, pubblicata il 24 dicembre, era stata compromessa con codice maligno che trasmetteva dati di wallet a un dominio esterno. Nel giro di poche ore, numerosi utenti hanno iniziato a segnalare perdite significative, con stime che superano i 2 milioni di dollari in vari indirizzi controllati dagli aggressori.
Risposta di Trust Wallet
Trust Wallet ha confermato formalmente l’incidente nelle prime ore del 26 dicembre, affermando che solo gli utenti della versione 2.68 dell’estensione del browser sono stati coinvolti e invitando gli utenti a eseguire l’aggiornamento alla versione 2.69. La società ha inoltre fornito una guida passo dopo passo per disabilitare in modo sicuro la versione compromessa e aggiornare alla versione corretta. Gli utenti sono stati invitati a non aprire l’estensione fino a quando non avessero eseguito l’aggiornamento, per evitare di attivare eventuali attività maligne.
