Trust Wallet ha lanciato un pacchetto di risarcimento formale per le vittime di undent di sicurezza che ha interessato la sua estensione per il browser Chrome. La piattaforma ha annunciato la violazione in un post, sottolineando che un codice dannoso era incorporato nella versione 2.68 del software. Il fornitore del wallet ha esortato gli utenti a disattivare la versione dannosa e a passare alla versione 2.69.
La dichiarazione ufficiale ha coinciso anche con un aggiornamento del ricercatore on-chain ZachXBT, che ha dent oltre 6 milioni di dollari di fondi rubati. ZachXBT ha affermato che centinaia di wallet, tra cui Ethereum Ethereum Bitcoin Bitcoin Solana Solana sono stati interessati dall'exploit. Ha osservato di non essere sicuro che l'exploit avesse compromesso le chiavi private stesse, ma ha esortato gli utenti a generare nuovi wallet.
Mentre alcuni utenti hanno perso piccole quantità di BTC, l'hacker è riuscito a rubare migliaia di dollari ad altri utenti.
Trust Wallet lancia un pacchetto di compensazione per i suoi utenti
Nella sua dichiarazione, Trust Wallet ha affermato che gli utenti interessati possono ora inviare reclami tramite un modulo ospitato sul suo portale. La procedura richiede alle vittime dell'attacco di fornire il proprio indirizzo email, gli indirizzi dei wallet compromessi, il paese di residenza, gli indirizzi di ricezione dell'hacker e i dettagli delle transazioni rilevanti.
Trust Wallet ha inoltre promesso di risarcire tutti gli utenti colpiti dall'incidente.
"Stiamo lavorando senza sosta per finalizzare i dettagli del processo di compensazione e ogni caso richiede un'attenta verifica per garantire accuratezza e sicurezza", ha scritto Trust Wallet su X.
Il fornitore di wallet ha confermato che circa 7 milioni di dollari in asset digitali sono stati sottratti da diversi wallet su più blockchain. Secondo la società di sicurezza blockchain PeckShield, oltre 4 milioni di dollari di fondi rubati sono stati trasferiti tramite exchange centralizzati come ChangeNOW, FixedFloat e KuCoin.
L'azienda di sicurezza blockchain ha sottolineato che, secondo l'ultimo aggiornamento, l'hacker detiene ancora più di 2,8 milioni di dollari nei suoi wallet. Changpeng Zhao, co-fondatore ed ex CEO di Binance, che ha acquisito Trust Wallet nel 2018, ha confermato su X che l'azienda coprirà tutte le perdite subite.
"Finora, 7 milioni di dollari sono stati colpiti da questo attacco. TrustWallet coprirà i danni", ha scritto Zhao su X, assicurando al pubblico che i fondi degli utenti "sono al sicuro"
Parlando dell'exploit, Eowyn Chen, CEO di Trust Wallet, ha osservato che gli utenti che hanno effettuato l'accesso all'estensione prima del 26 dicembre alle 11:00 UTC erano potenzialmente interessati. Chen ha affermato che, durante le indagini, l'azienda ha scoperto che una chiave API del Chrome Web Store trapelata era stata utilizzata per pubblicare un'estensione compromessa il 24 dicembre alle 12:32 UTC, bypassando il processo di rilascio interno dell'azienda.
Gli hacker hanno preso di mira le frasi seed del portafoglio degli utenti
Il codice dannoso è stato dent da SlowMist , che ha sottolineato come fosse stato progettato per raccogliere frasi seed del wallet utilizzando una libreria di analisi open source modificata. Gli utenti di applicazioni mobili e quelli che utilizzavano altre versioni dell'estensione del browser non sono stati interessati dall'incidente dent L'estensione Chrome di Trust Wallet conta circa un milione di utenti, secondo quanto riportato sul suo Web Store.
Questo sviluppo arriva in un momento in cui Coinbase ha dichiarato che avrebbe rimborsato più di 400 milioni di dollari agli utenti interessati e riparato altri danni dopo aver arrestato un agente di supporto collegato a una grave violazione della sicurezza avvenuta all'inizio di quest'anno in India.
L'arresto è stato confermato da Coinbase e dalla polizia indiana e arriva mesi dopo che alcuni hacker hanno corrotto il personale di supporto per rubare le informazioni degli utenti.
La violazione, iniziata a maggio, ha portato gli hacker a chiedere un riscatto di 20 milioni di dollari e l'azienda ha dovuto affrontare ricadute per 400 milioni di dollari.
"Quello che questi aggressori stavano facendo era trovare dipendenti etracdi Coinbase con sede in India che erano associati al nostro outsourcing dei processi aziendali o alle operazioni di supporto, cose del genere, e corromperli per ottenere i dati dei clienti", ha affermato Philip Martin, Chief Security Officer di Coinbase.
