Το hack επέκτασης πορτοφολιού εμπιστοσύνης αξίας 7 εκατομμυρίων δολαρίων: Όλα όσα πρέπει να ξέρετε

Πορτοφόλι εμπιστοσύνης επιβεβαίωσε ότι μια κακόβουλη ενημέρωση στην επίσημη επέκταση του προγράμματος περιήγησης Chrome οδήγησε στην κλοπή περίπου 7 εκατομμυρίων δολαρίων σε κεφάλαια χρηστών. Η παραβίαση επηρέασε μόνο μία έκδοση της επέκτασης, την έκδοση 2.68, και αφορούσε εισβολείς που έκλεψαν φράσεις εκκίνησης πορτοφολιού μέσω ενσωματωμένου κακόβουλου κώδικα. Σύμφωνα με αναφορές, οι χρήστες κινητών και άλλες εκδόσεις προγραμμάτων περιήγησης δεν επηρεάστηκαν.

Τι συνέβη στο hack της επέκτασης Trust Wallet;

Το περιστατικό ξεκίνησε στις 24 Δεκεμβρίου 2025, όταν η Trust Wallet κυκλοφόρησε την έκδοση 2.68.0 της επέκτασης Chrome. Αρχικά, οι χρήστες ανέφεραν διάσπαρτες απώλειες. Τα πορτοφόλια εξαντλήθηκαν λίγο μετά την πρόσβαση ή την εισαγωγή τους μέσω της επέκτασης. Αυτό που έμοιαζε με μεμονωμένες περιπτώσεις γρήγορα υπέδειξε ένα ευρύτερο πρόβλημα.

Ανήμερα των Χριστουγέννων, ο ερευνητής ZachXBT εκδίδεται μια δημόσια προειδοποίηση ενώ τα κλεμμένα κεφάλαια εξακολουθούσαν να κινούνται στην αλυσίδα. Συνέδεσε τις διαρροές πορτοφολιών απευθείας με την ενημέρωση v2.68. Η ανάλυσή του βοήθησε να διαπιστωθεί ότι δεν επρόκειτο για σφάλμα χρήστη ή ηλεκτρονικό ψάρεμα (phishing), αλλά για μια παραβιασμένη επέκταση προγράμματος περιήγησης.

Στις 26 Δεκεμβρίου, η Trust Wallet επιβεβαίωσε την παραβίαση. Η εταιρεία δήλωσε ότι επηρεάστηκε μόνο η έκδοση 2.68 και προέτρεψε τους χρήστες να αναβαθμίσουν αμέσως στην έκδοση 2.69. Η επέκταση Chrome έχει περίπου ένα εκατομμύριο χρήστες, σύμφωνα με την καταχώριση στο Chrome Web Store.

Το Trust Wallet επιβεβαίωσε αργότερα ότι περίπου 7 εκατομμύρια δολάρια σε ψηφιακά περιουσιακά στοιχεία κλάπηκαν σε πολλαπλά blockchains.

Ποιοι χρήστες επηρεάστηκαν;

Μόνο οι χρήστες που εγκατέστησαν ή συνδέθηκαν στην επέκταση Chrome έκδοση 2.68 του Trust Wallet πριν από τις 26 Δεκεμβρίου στις 11:00 π.μ. UTC διέτρεχαν κίνδυνο.

Σύμφωνα με το Trust Wallet και ερευνητές ασφαλείας:

• Οι χρήστες εφαρμογών για κινητά δεν επηρεάστηκαν
• Άλλες εκδόσεις επεκτάσεων προγράμματος περιήγησης δεν επηρεάστηκαν
• Τα πορτοφόλια στα οποία έγινε πρόσβαση μέσω της έκδοσης 2.68 θα μπορούσαν να έχουν παραβιαστεί πλήρως

Σε πολλές περιπτώσεις, τα πορτοφόλια άδειαζαν μέσα σε λίγα λεπτά από το ξεκλείδωμα της επέκτασης ή την εισαγωγή μιας φράσης seed. Επηρεάστηκαν εκατοντάδες πορτοφόλια, συμπεριλαμβανομένων διευθύνσεων Bitcoin, Ethereum και Solana.

Ο Διευθύνων Σύμβουλος της Trust Wallet, Eowyn Chen, επιβεβαίωσε ότι οι χρήστες που συνδέθηκαν κατά τη διάρκεια του επηρεαζόμενου παραθύρου θα πρέπει να υποθέσουν ότι τα πορτοφόλια τους ήταν εκτεθειμένα και να δημιουργήσουν νέα.

Πώς λειτούργησε ο κακόβουλος κώδικας;

Σύμφωνα με εταιρεία ασφάλειας blockchain Αργή ομίχλη, η επίθεση δεν προκλήθηκε από κακόβουλη βιβλιοθήκη τρίτου μέρους. Αντίθετα, ο εισβολέας τροποποίησε απευθείας τον κώδικα επέκτασης του Trust Wallet. Η κακόβουλη λογική ήταν ενσωματωμένη στο στοιχείο ανάλυσης της επέκτασης.

Ανακαλύψτε πολλά υποσχόμενα έργα...

Πολλά υποσχόμενα έργα...

(Διαφήμιση)

Το άρθρο συνεχίζεται...

Δείτε πώς λειτούργησε:

• Ο κώδικας επαναλήφθηκε σε όλα τα πορτοφόλια που ήταν αποθηκευμένα στην επέκταση
• Ενεργοποίησε ένα αίτημα μνημονικής φράσης για κάθε πορτοφόλι
• Όταν οι χρήστες ξεκλείδωναν το πορτοφόλι, η κρυπτογραφημένη φράση seed αποκρυπτογραφούνταν.
• Το αποκρυπτογραφημένο μνημονικό στάλθηκε σε έναν διακομιστή που ελέγχεται από εισβολέα

Τα δεδομένα μεταφέρθηκαν στο api.metrics-trustwallet[.]com. Το domain καταχωρήθηκε στις 8 Δεκεμβρίου 2025. Τα αιτήματα προς τον διακομιστή ξεκίνησαν στις 21 Δεκεμβρίου, ημέρες πριν από τη δημοσίευση της κακόβουλης ενημέρωσης.

Ο εισβολέας χρησιμοποίησε μια νόμιμη βιβλιοθήκη αναλυτικών στοιχείων ανοιχτού κώδικα που ονομάζεται posthog-js ως κάλυψη. Αντί να στέλνει δεδομένα στο σωστό τελικό σημείο αναλυτικών στοιχείων, η επισκεψιμότητα ανακατευθύνθηκε στον διακομιστή του εισβολέα.

Το SlowMist δήλωσε ότι επρόκειτο για εσωτερική παραβίαση του κώδικα και όχι για δηλητηριασμένη εξάρτηση.

Πώς δημοσιεύτηκε η παραβιασμένη επέκταση;

Η εσωτερική έρευνα της Trust Wallet εντόπισε μια κρίσιμη αποτυχία στη διαδικασία κυκλοφορίας της. Σύμφωνα με τον Διευθύνοντα Σύμβουλο Eowyn Chen, ένα διαρροή κλειδιού API του Chrome Web Store χρησιμοποιήθηκε για τη δημοσίευση της κακόβουλης έκδοσης.

Η παραβιασμένη επέκταση μεταφορτώθηκε στις 24 Δεκεμβρίου στις 12:32 μ.μ. UTC. Αυτό παρέκαμψε τους συνήθεις εσωτερικούς ελέγχους του Trust Wallet.

Δείχνει ότι ο εισβολέας δεν εκμεταλλεύτηκε άμεσα τους χρήστες. Αντίθετα, εκμεταλλεύτηκε την υποδομή διανομής. Επιθέσεις στην εφοδιαστική αλυσίδα όπως αυτή είναι πιο δύσκολο να εντοπιστούν επειδή το λογισμικό φαίνεται επίσημο και αξιόπιστο.

Πόσα κλάπηκαν και πού πήγαν τα κεφάλαια;

Το Trust Wallet και ανεξάρτητοι ερευνητές εκτιμούν τις συνολικές απώλειες σε περίπου 7 εκατομμύρια δολάρια.

Η ανάλυση των γνωστών κλεμμένων περιουσιακών στοιχείων περιλαμβάνει:

• Περίπου 3 εκατομμύρια δολάρια σε Bitcoin
• Πάνω από 3 εκατομμύρια δολάρια Ethereum
• Μικρότερες ποσότητες σε σολάριουμ και άλλα περιουσιακά στοιχεία

Σύμφωνα με PeckShield και ZachXBT, τα κλεμμένα κεφάλαια ξεπλύθηκαν γρήγορα.

Οι βασικές κινήσεις περιλαμβάνουν:

• Περίπου 3.3 εκατομμύρια δολάρια στάλθηκαν στο ChangeNOW
• Περίπου 340,000 δολάρια στάλθηκαν στην FixedFloat
• Περίπου 447,000 δολάρια στάλθηκαν στην KuCoin

Πάνω από 4 εκατομμύρια δολάρια πέρασαν μέσω κεντρικών ανταλλακτηρίων. Μέχρι την τελευταία ενημέρωση, περίπου 2.8 εκατομμύρια δολάρια παρέμεναν σε πορτοφόλια που ελέγχονταν από τον εισβολέα.

Αυτό το μοτίβο αντικατοπτρίζει άλλες περιπτώσεις παραβίασης πορτοφολιών, όπου οι επιτιθέμενοι χρησιμοποιούν υπηρεσίες άμεσης ανταλλαγής και γέφυρες για να μειώσουν την ιχνηλασιμότητα.

Σχέδιο Απόκρισης και Αποζημίωσης της Trust Wallet

Το Trust Wallet πρότεινε μια γρήγορη λύση. Η έκδοση 2.69 κυκλοφόρησε στις 25 Δεκεμβρίου για την αφαίρεση του κακόβουλου κώδικα. Οι χρήστες παροτρύνθηκαν να απενεργοποιήσουν αμέσως την έκδοση 2.68.

Η εταιρεία ξεκίνησε επίσης ένα επίσημο πρόγραμμα αποζημίωσης.

Οι χρήστες που επηρεάζονται μπορούν να υποβάλουν αξιώσεις μέσω ενός επίσημη φόρμα υποστήριξης στον ιστότοπο του Trust WalletΗ διαδικασία απαιτεί:

• Email
• Χώρα κατοικίας
• Παραβιασμένες διευθύνσεις πορτοφολιού
• Ο εισβολέας λαμβάνει διευθύνσεις
• Σχετικά hashes συναλλαγών

Η Trust Wallet δήλωσε ότι κάθε αξίωση θα επαληθεύεται ξεχωριστά.

«Εργαζόμαστε όλο το εικοσιτετράωρο για να οριστικοποιήσουμε τις λεπτομέρειες της διαδικασίας αποζημίωσης και κάθε περίπτωση απαιτεί προσεκτική επαλήθευση για να διασφαλιστεί η ακρίβεια και η ασφάλεια», ανέφερε η εταιρεία.

Ο Changpeng Zhao, συνιδρυτής και πρώην διευθύνων σύμβουλος της Binance, η οποία απέκτησε την Trust Wallet το 2018, επιβεβαίωσε ότι οι ζημίες θα καλυφθούν.

Γιατί αυτό το hack έχει σημασία για την ασφάλεια του πορτοφολιού

Αυτό το περιστατικό υπογραμμίζει έναν επαναλαμβανόμενο κίνδυνο στα κρυπτονομίσματα. Ακόμα και τα πορτοφόλια που δεν είναι θεματοφυλακής εξαρτώνται από κανάλια διανομής λογισμικού. Όταν αυτά τα κανάλια αποτύχουν, οι χρήστες μπορούν να χάσουν τα πάντα.

Η παραβίαση του Trust Wallet ακολουθεί ένα ευρύτερο μοτίβο που παρατηρείται σε ολόκληρο τον κλάδο. Νωρίτερα φέτος, η Coinbase αποκάλυψε ότι θα αποζημιώσει περισσότερα από 400 εκατομμύρια δολάρια μετά από μια ξεχωριστή παραβίαση που συνδέεται με δωροδοκία προσωπικού υποστήριξης στην Ινδία.

Διαφορετικές μέθοδοι επίθεσης, ίδιο αποτέλεσμα. Οι υποθέσεις εμπιστοσύνης καταρρέουν στα άκρα.

Για τους χρήστες, αυτό ενισχύει τους βασικούς κανόνες ασφαλείας:

• Αντιμετωπίστε τις επεκτάσεις του προγράμματος περιήγησης ως λογισμικό υψηλού κινδύνου
• Άμεση ενημέρωση μόλις κυκλοφορήσουν οι διορθώσεις
• Μεταφέρετε χρήματα εάν ένα πορτοφόλι ενδέχεται να έχει παραβιαστεί
• Ποτέ μην επαναχρησιμοποιείτε εκτεθειμένες φράσεις-αρχές που έχουν προκύψει από την χρήση τους, όπως αυτές που αναφέρονται παραπάνω.

Για τους παρόχους πορτοφολιών, το μάθημα αφορά την ασφάλεια έκδοσης. Τα κλειδιά API, οι αγωγοί δημιουργίας και τα διαπιστευτήρια αποθήκευσης αποτελούν πλέον πρωταρχικούς στόχους επίθεσης.

Συμπέρασμα

Η παραβίαση της επέκτασης Trust Wallet, αξίας 7 εκατομμυρίων δολαρίων, ήταν αποτέλεσμα παραβίασης της αλυσίδας εφοδιασμού και όχι σφάλματος χρήστη. Κακόβουλος κώδικας ενσωματωμένος στην έκδοση 2.68 της επέκτασης Chrome συγκέντρωσε φράσεις εκκίνησης (seed phrases) και εξάντλησε τα πορτοφόλια σε πολλαπλά blockchains. 

Το rust Wallet αντέδρασε αφαιρώντας την επηρεαζόμενη έκδοση, κυκλοφορώντας μια επιδιόρθωση και δεσμευόμενο για πλήρη αποζημίωση. Το περιστατικό υπογραμμίζει πώς οι επεκτάσεις του προγράμματος περιήγησης παραμένουν μια κρίσιμη επιφάνεια επίθεσης στα κρυπτονομίσματα και γιατί τόσο οι χρήστες όσο και οι προγραμματιστές πρέπει να αντιμετωπίζουν την ασφάλεια της διανομής τόσο σοβαρά όσο και τη διαχείριση ιδιωτικών κλειδιών.

Υποστηρικτικό υλικό

1. Πορτοφόλι εμπιστοσύνης στο X: Ανακοίνωση στις 26 Δεκεμβρίου

2. Δημοσίευση Slowmist στο XΑναφορά για την εκμετάλλευση του Πορτοφολιού Εμπιστοσύνης

3. Δημοσίευση PeckShield στο X: Σχετικά με την εκμετάλλευση του Πορτοφολιού Trust