Trust Wallet Hack und Sicherheitsmaßnahmen
Der CEO von Binance, Changpeng Zhao, hat klargestellt, dass die Gelder nach dem jüngsten Trust Wallet Hack „SAFU“ sind. Das Unternehmen wird seine eigene Schatzkammer nutzen, um die Opfer des Diebstahls in Höhe von 7 Millionen Dollar zu entschädigen.
Kompromittierte Version und Sicherheitslücke
Die Trust Wallet Browsererweiterung in Version 2.68 wurde kürzlich kompromittiert. Angreifer nutzten eine Schwachstelle in dieser spezifischen Version, um Kryptowährungen aus den Wallets der Nutzer abzuziehen. Die Wallet hat den Vorfall anerkannt und eine gepatchte Version (Version 2.69) veröffentlicht, um die Sicherheitslücke zu schließen.
Nutzer, die die Trust Wallet Browsererweiterung in Version 2.68 auf dem Desktop verwenden, sind derzeit gefährdet. Es wird dringend empfohlen, das Erweiterungssymbol nicht anzuklicken oder zu versuchen, es zu öffnen. Das Öffnen der kompromittierten Version (2.68) könnte den Exploit auslösen und Ihre Gelder abziehen.
Ausmaß des Diebstahls
PeckShield berichtete, dass das Ausmaß des Diebstahls erheblich und größer als ursprünglich geschätzt ist.
Frühe Berichte gaben an, dass 2,8 Millionen Dollar gestohlen wurden, aber weitere Analysen bestätigten, dass diese Zahl bis zu 6 Millionen Dollar erreichen könnte. Die Angreifer bewegen aktiv die gestohlenen Gelder, um sie zu mischen oder abzuheben. Ungefähr 2,8 Millionen Dollar befinden sich noch in den Adressen der Angreifer auf Bitcoin-, EVM (Ethereum Virtual Machine)-Ketten und Solana. Der Großteil (mehr als 4 Millionen Dollar) wurde an zentrale Börsen gesendet, darunter 3,3 Millionen Dollar an ChangeNOW, 447.000 Dollar an KuCoin und 340.000 Dollar an FixedFloat.
Untersuchung des Hacks
Zhao weist darauf hin, dass das Team untersucht, wie die Hacker in der Lage waren, „eine neue Version“ (Version 2.68) im Chrome Web Store einzureichen. Dies deutet darauf hin, dass der Hack eine Kompromittierung der Release-Pipeline war. Der Sicherheitsvorfall könnte einen kompromittierten Mitarbeiter oder einen abtrünnigen Entwickler involviert haben, der die Berechtigungen hatte, ein Update im Google Web Store zu veröffentlichen.
