Σοβαρό κενό ασφαλείας στο Chrome extension Trust Wallet με απώλειες 7 εκατ. δολαρίων σε crypto wallets
Ένα ιδιαίτερα ανησυχητικό περιστατικό ασφάλειας ήρθε στο φως τις τελευταίες ημέρες, με την Trust Wallet να καλεί επειγόντως τους χρήστες της επέκτασής της για Google Chrome να προχωρήσουν σε άμεση αναβάθμιση. Σύμφωνα με την εταιρεία, ένα κενό ασφαλείας οδήγησε σε απώλειες ψηφιακών περιουσιακών στοιχείων συνολικής αξίας περίπου 7 εκατομμυρίων δολαρίων.
Το πρόβλημα αφορά αποκλειστικά την έκδοση 2.68 της επέκτασης, η οποία χρησιμοποιείται από περίπου ένα εκατομμύριο χρήστες, βάσει των στοιχείων του Chrome Web Store. Η Trust Wallet συνιστά την άμεση ενημέρωση στην έκδοση 2.69, η οποία διορθώνει το ζήτημα. Όπως ξεκαθαρίζει, οι χρήστες κινητών συσκευών, καθώς και όσοι χρησιμοποιούν άλλες εκδόσεις επεκτάσεων προγραμμάτων οδήγησης δεν επηρεάζονται.
Με επίσημη ανακοίνωσή της στα κοινωνικά δίκτυα, η Trust Wallet επιβεβαίωσε το μέγεθος της ζημιάς και δεσμεύτηκε για πλήρη αποζημίωση όλων των θυμάτων. Όπως ανέφερε, η υποστήριξη των επηρεαζόμενων χρηστών αποτελεί ύψιστη προτεραιότητα και η διαδικασία επιστροφής κεφαλαίων βρίσκεται ήδη σε εξέλιξη. Παράλληλα, προειδοποίησε τους χρήστες να αγνοούν οποιαδήποτε μηνύματα δεν προέρχονται από τα επίσημα κανάλια της εταιρείας.
Σύμφωνα με ανάλυση της εταιρείας κυβερνοασφάλειας SlowMist, η προβληματική έκδοση 2.68 περιείχε κακόβουλο κώδικα, ο οποίος σάρωνε όλα τα πορτοφόλια που ήταν αποθηκευμένα στην επέκταση. Ο κώδικας ενεργοποιούσε αιτήματα για τη μνημονική φράση (recovery phrase) κάθε πορτοφολιού, την οποία στη συνέχεια αποκρυπτογραφούσε χρησιμοποιώντας τον κωδικό ή το passkey που εισήγαγε ο χρήστης κατά το ξεκλείδωμα.
Αφού ολοκληρωνόταν η αποκρυπτογράφηση, η μνημονική φράση αποστέλλονταν σε διακομιστή που ελεγχόταν από τον δράστη, μέσω του domain api.metrics-trustwallet.com. Το συγκεκριμένο domain είχε καταχωρηθεί στις 8 Δεκεμβρίου 2025, με την πρώτη καταγεγραμμένη επικοινωνία να εντοπίζεται στις 21 Δεκεμβρίου.
Τα ψηφιακά περιουσιακά στοιχεία που έχουν αφαιρεθεί μέχρι στιγμής περιλαμβάνουν περίπου 3 εκατ. δολάρια σε Bitcoin, πάνω από 3 εκατ. δολάρια σε Ethereum και μικρότερα ποσά σε Solana. Τα κεφάλαια μετακινήθηκαν μέσω κεντρικών ανταλλακτηρίων και γεφυρών διασύνδεσης αλυσίδας (cross-chain bridges), με στόχο τη μετατροπή και απόκρυψη της προέλευσής τους.
Σύμφωνα με στοιχεία από ερευνητές αλυσίδας συστοιχιών (blockchain), εκατοντάδες χρήστες έχουν πέσει θύματα του περιστατικού. Ένα σημαντικό μέρος των κλεμμένων crypto έχει ήδη καταλήξει σε υπηρεσίες όπως ChangeNOW, FixedFloat και KuCoin, ενώ περίπου 2,8 εκατ. δολάρια παραμένουν ακόμη σε πορτοφόλια που συνδέονται με τον δράστη.
Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι, σύμφωνα με τη SlowMist, η «πίσω πόρτα» δεν προήλθε από κάποια παραβιασμένη εξωτερική βιβλιοθήκη ή npm package. Αντιθέτως, ο δράστης τροποποίησε απευθείας τον εσωτερικό κώδικα της επέκτασης, αξιοποιώντας μια νόμιμη βιβλιοθήκη analytics (posthog-js) ως μηχανισμό διαρροής δεδομένων, διοχετεύοντας την κίνηση σε διακομιστή υπό τον έλεγχό του.
Η Trust Wallet δεν απέκλεισε το ενδεχόμενο εμπλοκής κρατικού φορέα, αφήνοντας να εννοηθεί ότι ενδέχεται να υπήρξε παραβίαση συσκευών προγραμματιστών ή απόκτηση δικαιωμάτων διάθεσης της επέκτασης πριν από τις 8 Δεκεμβρίου. Από την πλευρά του, ο συνιδρυτής της Binance, Changpeng Zhao, υπαινίχθηκε ότι το περιστατικό «πιθανότατα» προήλθε από εσωτερικό άτομο, χωρίς ωστόσο να παρουσιαστούν αποδεικτικά στοιχεία.
Σε νεότερη ανακοίνωση, η Trust Wallet κάλεσε τους χρήστες που επηρεάστηκαν να συμπληρώσουν ειδική φόρμα υποστήριξης, προκειμένου να ξεκινήσει η διαδικασία αποζημίωσης. Οι χρήστες καλούνται να δηλώσουν email επικοινωνίας, χώρα διαμονής, διευθύνσεις πορτοφολιών που παραβιάστηκαν, διευθύνσεις μεταφοράς των κεφαλαίων και τα σχετικά hash συναλλαγών.
Παράλληλα, η εταιρεία προειδοποίησε για αυξημένα φαινόμενα απάτης, όπως ψεύτικες φόρμες αποζημίωσης, πλαστά προφίλ υποστήριξης και παραπλανητικά Telegram διαφημίσεις (ads). Η σύσταση είναι σαφής καμία κοινοποίηση ανάκτησης phrase και χρήση αποκλειστικά των επίσημων καναλιών.
Η CEO της Trust Wallet, Eowyn Chen, επιβεβαίωσε ότι το ζήτημα επηρεάζει μόνο χρήστες της έκδοσης Chrome extension 2.68 που είχαν συνδεθεί πριν τις 26 Δεκεμβρίου 2025, στις 11:00 UTC. Όπως ανέφερε, η κακόβουλη έκδοση δεν πέρασε από την κανονική εσωτερική διαδικασία διάθεσης, αλλά φαίνεται πως δημοσιεύτηκε μέσω διαρροής του Chrome Web Store API key, παρακάμπτοντας τους ελέγχους ασφαλείας.
Μετά τον εντοπισμό του περιστατικού, η Trust Wallet προχώρησε σε απενεργοποίηση του κακόβουλου domain, ακύρωση όλων των API keys διάθεσης και έναρξη της διαδικασίας επιστροφής χρημάτων στους πληγέντες χρήστες.
Το περιστατικό αυτό αποτελεί ακόμη μία υπενθύμιση ότι, ακόμη και σε ότι δεν υπάρχει τρίτοι θεματοφύλακες λύσεων, η ασφάλεια των επεκτάσεων περιηγητών παραμένει κρίσιμος παράγοντας για την προστασία των κρυπτοστοιχείων (crypto assets).
{alertInfo}Ακολουθήσετε το Tech News in Greek στο Facebook, στο X και στο Google News για να μαθαίνετε άμεσα όλα τα νέα.
