Уязвимость кошелька Trust Wallet привела к потере 200 тысяч долларов. Как уберечься пользователям?

Накануне пользователи популярного криптовалютного кошелька Trust Wallet столкнулись с уязвимостью, которая приводит к реальному риску потери средств пользователей. Оказалось, что разработчики кошелька не признавали проблему публично в течение нескольких месяцев, то есть она существовала и раньше. При этом даже после выпуска фикса представители проекта утверждают, что для полной защиты криптоактивов пользователям всё же придётся провести определённое действие. Рассказываем о происходящем подробнее.

Отметим, что тема хакеров в мире криптовалют актуальна всегда. К примеру, на прошлой неделе стало известно о таинственных взломах кошельков держателей цифровых активов, которые принесли злоумышленникам более 5 тысяч эфиров с декабря 2022 года. Соответственно, их «заработок» эквивалентен приблизительно 10 миллионам долларов.

Наиболее удивительным здесь является то, что жертвами взлома стали опытные пользователи криптовалют, которые используют несколько адресов в блокчейне. При этом способ кражи цифровых активов остаётся неизвестным.

Криптовалютный хакер

На выходных жертвой взлома стала официальная учётная запись криптовалютной биржи KuCoin в Твиттере. Хакеры использовали аккаунт для публикаций данных о фейковых акциях, которые позволили им завладеть активами своих жертв. Как отметили представители компании, учётная запись была в распоряжении мошенников на протяжении 45 минут.

Уязвимость кошелька Trust Wallet привела к потере 200 тысяч долларов. Как уберечься пользователям? Публикация о взломе Твиттера криптовалютной биржи KuCoin. Фото.

Публикация о взломе Твиттера криптовалютной биржи KuCoin

Сотрудники платформы KuCoin оценивают общий объём транзакций жертв в 22.6 тысячи долларов. При этом они обещают возместить все убытки, если жертвы смогут подтвердить факт проведения операции из-за активности хакеров.

Как взломали кошелёк Trust Wallet

Согласно данным источников, накануне сотрудники Trust Wallet объявили об устранении бага, который затрагивает пользователей, создавших кошелёк с помощью браузерного расширения проекта в период с 13 по 23 ноября 2022 года. При этом фикс бага распространяется только на браузерные кошельки, созданные после 23 ноября.

Вот комментарий из блога компании по этому поводу. Реплику приводит Decrypt.

Чтобы избавиться от уязвимости, пользователи должны перенести свои активы с затронутых адресов кошельков на новые. В этих обстоятельствах мы предприняли все возможные меры для информирования пользователей и оказания им помощи в снижении риска потенциальных хакерских атак.

По традиции напоминаем, что на так называемых горячих кошельках с интернет-подключением лучше хранить небольшие объёмы цифровых активов, которые требуются для проведения транзакций. Основную массу монет и токенов безопаснее держать на аппаратных кошельках. Всё же последние не показывают приватные ключи пользователей в онлайне, из-за чего добраться до них прямым методом у хакеров не удастся.

Пользователи мобильного приложения оказались вне зоны риска

Исправление проблемы в столь странной манере скорее всего связано с техническими тонкостями кода кошелька. Если у вас есть средства на Trust Wallet, рекомендуем перепроверить свои кошельки и перевести монеты на новый адрес. Сделать это можно в том числе в качестве перестраховки. Всё же если отправка криптоактивов на новый кошелёк исправляет проблему, таким вариантом можно воспользоваться.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Стоит отметить, что изначально проблема с Trust Wallet была замечена ещё прошлой осенью независимым экспертом в сфере кибербезопасности. Он уведомил разработчиков о происходящем в тот же момент. К сожалению, это не помешало хакерам украсть почти 200 тысяч долларов в крипте за всё это время. Вот соответствующая реплика о происходящем.

Несмотря на все наши усилия по минимизации потерь, мы выявили два вероятных случая использования уязвимости с общей суммой убытков в 170 тысяч долларов. Чтобы поступить правильно по отношению к пользователям, мы создали процесс возмещения ущерба для пострадавших.

После устранения уязвимости команда проекта заявила, что обсуждала между собой тему необходимости публичного раскрытия информации о баге.

Нашей главной целью было помочь пользователям сохранить как можно больше своих активов и предотвратить возможные потери. Мы считали, что конфиденциальное общение с юзерами один на один позволит им предпринять необходимые действия без ущерба для единоличного владения своими активами.

Иначе говоря, разработчики не хотели рассказывать о происходящем, чтобы не привлекать внимание хакеров, которые могли воспользоваться ситуацией. Увы, такое решение оказалось не самым эффективным, ведь определённые пользователи всё же лишились части сбережений.

Trust Wallet

Команда Trust Wallet сообщила, что они обращались к пострадавшим пользователям с помощью мобильных push-уведомлений и предупреждений в приложении, которые появлялись каждую минуту. Сообщения сопровождались чёткими инструкциями о том, как пользователи могут перевести свои активы.

Стартап не только предоставил пользователям поддержку, но и предложил возместить расходы на комиссии для пользователей, переводивших свои средства на другие кошельки. В общей сложности Trust Wallet возместили около 23.6 BNB или 7700 долларов в виде комиссий.

Мы считаем, что подобные случаи напоминают о необходимости удерживать большую часть собственных цифровых активов на аппаратных кошельках. И хотя с такими устройствами немного сложнее взаимодействовать — всё же они требуют подписи каждой отдельной транзакции — это обеспечивает лучшую сохранность криптовалют. Соответственно, шансов сохранить собственные монеты становится больше, а это ключевая задача перед наступлением нового буллрана.

Ещё больше интересного ищите в нашем крипточате бывших богачей. Там обсудим и прочие важные новости, которые так или иначе приводят к изменениям в мире децентрализованных активов.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.