Trust Wallet sotto attacco: come sono evaporati 7 milioni in crypto e cosa rischi oggi

Trust Wallet sotto attacco: come sono evaporati 7 milioni in crypto e cosa rischi oggi

Entità e dinamica dell’attacco

Il furto di 7 milioni di dollari in criptovalute ha colpito gli utenti dell’estensione per Chrome di Trust Wallet in seguito alla distribuzione della versione 2.68 sul Chrome Web Store, avvenuta il 24 dicembre. La compromissione è stata confermata da Changpeng Zhao (CZ), co-fondatore ed ex CEO di Binance, che ha ribadito l’impegno al rimborso tramite il fondo SAFU (Secure Asset Fund for Users). L’episodio si inquadra in un classico attacco alla supply chain: il pacchetto dell’estensione è stato alterato prima della pubblicazione, introducendo un componente malevolo destinato a intercettare informazioni sensibili.

▷ Lo sai che da oggi puoi MONETIZZARE FACILMENTE I TUOI ASSET TOKENIZZANDOLI SUBITO? Contatto per approfondire: CLICCA QUI

L’analisi condotta da ricercatori di sicurezza indipendenti ha individuato un frammento di JavaScript che, presentandosi come codice per la raccolta di metriche, inoltrava dati verso un server esterno. Questo modulo ha agito da esfiltratore delle seed phrase, consentendo ai criminali di sottrarre i fondi dai wallet senza attivare allarmi evidenti lato utente. La catena operativa è stata lineare: aggiornamento legittimo compromesso, distribuzione tramite canale ufficiale, esecuzione del codice in background, invio delle frasi di recupero e svuotamento sistematico dei portafogli.

Secondo le prime ricostruzioni interne, la manipolazione potrebbe essere riconducibile a un insider con accesso al processo di rilascio dell’estensione. Mentre Trust Wallet non ha diffuso il numero esatto delle vittime, ha annunciato procedure di notifica e rimborso, invitando gli utenti a non aprire l’estensione compromessa e a disattivarla in favore della versione 2.69. In parallelo, è stata rilevata un’operazione di phishing segnalata da Bleeping Computer, con siti clonati che inducono all’inserimento della seed phrase sotto il pretesto di un aggiornamento di sicurezza, potenzialmente orchestrata dagli stessi attori dell’attacco principale.

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

La dinamica complessiva evidenzia una combinazione di compromissione dell’aggiornamento software e social engineering su larga scala. Il vettore tecnico ha garantito accesso diretto ai segreti custoditi dai client, mentre la campagna di phishing ha amplificato il bacino delle vittime, sfruttando l’urgenza post-incidente. La risposta operativa include la distribuzione della patch, le indicazioni per la disattivazione della release difettosa e l’attivazione del percorso di rimborso tramite form online dedicato.

Vulnerabilità sfruttate e vettori d’intrusione

L’elemento centrale è stato l’inserimento di un modulo JavaScript con funzioni di telemetria apparente che, in realtà, intercettava la seed phrase e la inviava a un endpoint esterno. Questa tecnica sfrutta la fiducia implicita riposta nel canale di distribuzione ufficiale, aggirando i controlli dell’utente e molte difese lato browser. La natura di attacco supply chain suggerisce la compromissione del processo di build o di firma prima dell’inoltro a Google per la pubblicazione sullo store.

SUPER SCONTI OUTLET SU AMAZON: CLICCA SUBITO QUI!

Il sospetto di un insider, reso pubblico da CZ, orienta l’indagine verso l’accesso privilegiato a repository o pipeline di rilascio. In uno scenario di questo tipo, un singolo commit malevolo mimetizzato da aggiornamento di routine può risultare sufficiente per veicolare codice esfiltratore mantenendo un profilo basso. La successiva campagna di phishing ha agito come vettore parallelo: pagine clone del sito ufficiale di Trust Wallet proponevano un falso aggiornamento, con una CTA “Update” che conduceva alla richiesta della seed phrase.

  • Compromissione del pacchetto versione 2.68 con codice di esfiltrazione.
  • Mimetizzazione come raccolta di analytics per ridurre la rilevabilità.
  • Distribuzione tramite il canale Chrome Web Store per massimizzare la portata.
  • Operazione di phishing coordinata per incrementare il tasso di compromissione.

L’aggiornamento correttivo alla versione 2.69 interrompe il canale malevolo, ma richiede la disattivazione manuale della release precedente per azzerare il rischio operativo lato utente.

Impatto su utenti e fondi compromessi

L’effetto immediato è stato lo svuotamento dei wallet collegati all’estensione compromessa, con una perdita complessiva stimata in 7 milioni di dollari. Il danno ha colpito esclusivamente gli utenti che avevano installato o mantenuto attiva la versione 2.68, mentre gli utenti mobile non risultano coinvolti. La natura non tracciabile delle seed phrase sottratte rende la compromissione totale del portafoglio pressoché inevitabile una volta esposta la chiave di recupero.

Trust Wallet ha comunicato che gli utenti impattati saranno informati e rimborsati tramite il fondo SAFU di Binance, con procedura attivata attraverso un form online dedicato. La quantificazione puntuale delle vittime non è stata divulgata, ma l’ampiezza della distribuzione dello store e il timing natalizio suggeriscono un raggio d’azione significativo. Nel frattempo, persistono tentativi di raggiro con falsi supporti tecnici, che mirano a estendere la platea dei portafogli compromessi.

Per gli utenti che hanno interagito con siti di phishing o inserito la seed phrase, il rischio è totale e richiede la rigenerazione immediata delle chiavi su un nuovo wallet e la migrazione dei fondi residui. La coesistenza di compromissione tecnica e ingegneria sociale aumenta la complessità della risposta e allunga la finestra di esposizione.

Misure di sicurezza e raccomandazioni future

La priorità operativa è la disattivazione della versione 2.68 dell’estensione e l’installazione della 2.69 dal canale ufficiale. Gli utenti non devono aprire l’estensione compromessa e devono procedere al controllo delle autorizzazioni del browser. Per il rimborso, è necessario compilare il form online indicato da Trust Wallet ed eseguire le verifiche di identità e di possesso dei wallet colpiti.

  • Non inserire mai la seed phrase in moduli o siti esterni: è richiesta solo per il recupero locale.
  • Verificare l’URL ufficiale di Trust Wallet e diffidare di link ricevuti via email o social.
  • Rigenerare la seed phrase e migrare i fondi se si sospetta esposizione.
  • Monitorare comunicazioni ufficiali e aggiornamenti di sicurezza rilasciati da Trust Wallet e Binance.
  • Abilitare controlli di integrità e utilizzare account separati per le operazioni sensibili.

Dal lato produttivo, sono imprescindibili revisioni della pipeline di rilascio: controllo delle dipendenze, firma deterministica, code review obbligatoria multi-persona, segregazione dei privilegi e monitoraggio degli artefatti prima della pubblicazione su Chrome Web Store. Queste misure riducono il rischio di inserimenti malevoli e migliorano la tracciabilità in caso di incidente.

FAQ

  • Chi è stato colpito dall’attacco?

    Gli utenti che hanno installato o mantenuto attiva la versione 2.68 dell’estensione Trust Wallet per Chrome.

  • Qual è l’ammontare delle perdite?

    Il valore complessivo stimato è di 7 milioni di dollari in criptovalute.

  • Come è avvenuta la compromissione?

    Tramite un attacco supply chain che ha inserito codice JavaScript malevolo nell’estensione prima della pubblicazione sullo store.

  • Gli utenti verranno rimborsati?

    Sì, Trust Wallet ha confermato il rimborso tramite il fondo SAFU di Binance, previa compilazione del form online.

  • Cosa devo fare se ho la versione 2.68?

    Disattivare subito l’estensione compromessa e installare la versione 2.69 dal canale ufficiale.

  • Come riconoscere i tentativi di phishing?

    Diffida di siti clone e richieste della seed phrase per aggiornamenti: l’aggiornamento legittimo non richiede mai l’inserimento della frase di recupero.

Vulnerabilità sfruttate e vettori d’intrusione

L’estensione compromessa integrava un blocco di JavaScript mascherato da telemetria che attivava la raccolta della seed phrase direttamente dall’interfaccia dell’estensione. Il codice, distribuito con la release 2.68, instaurava una comunicazione verso un server esterno, aggirando il controllo dell’utente grazie alla fiducia riposta nel Chrome Web Store. L’uso di nomenclature tipiche delle librerie di analytics e di percorsi di rete apparentemente innocui ha ridotto la probabilità di rilevazione.

La catena d’intrusione indica la compromissione del ciclo di rilascio prima dell’invio a Google, coerente con un attacco alla supply chain. La pista dell’insider, citata da Changpeng Zhao, orienta verso l’abuso di credenziali o di permessi in pipeline di build e firma. In tale contesto, un singolo commit inserito in una routine di aggiornamento è sufficiente per propagare un payload di esfiltrazione all’interno di un pacchetto altrimenti legittimo.

In parallelo, una campagna di phishing ha replicato l’identità del sito di Trust Wallet, offrendo un finto “aggiornamento di sicurezza”. La call-to-action “Update” conduceva a un form che richiedeva l’inserimento della seed phrase, creando un secondo vettore d’attacco complementare a quello tecnico. Il sincronismo temporale suggerisce un disegno coordinato per ampliare la superficie di compromissione nei giorni immediatamente successivi al rilascio difettoso.

  • Alterazione del pacchetto 2.68 con funzione di esfiltrazione, camuffata da raccolta analytics.
  • Distribuzione tramite Chrome Web Store per sfruttare il canale ufficiale e la sua reputazione.
  • Possibile abuso di permessi in repository/pipeline, compatibile con ipotesi di insider.
  • Operazione di phishing su domini clone con richiesta della seed phrase durante un falso update.

L’interruzione del flusso malevolo avviene con la versione 2.69, che deve sostituire la precedente dopo disattivazione manuale. Ogni interazione con pagine non ufficiali o form esterni che richiedano la frase di recupero va considerata compromissoria, poiché la seed phrase è sufficiente, da sola, a trasferire la piena proprietà dei fondi agli attaccanti.

Impatto su utenti e fondi compromessi

L’azione malevola ha prodotto un impatto diretto su disponibilità, integrità e confidenzialità degli asset detenuti tramite l’estensione per Chrome di Trust Wallet. Lo svuotamento dei wallet è avvenuto in modo silente subito dopo l’esfiltrazione della seed phrase, con un ammontare complessivo stimato di 7 milioni di dollari. La compromissione ha interessato esclusivamente chi ha installato o mantenuto attiva la release 2.68 dal Chrome Web Store, mentre l’app mobile non rientra nel perimetro dell’incidente. L’esposizione della frase di recupero equivale a perdita totale del controllo del portafoglio: una volta acquisita, gli attaccanti possono ricostruire le chiavi private e trasferire i fondi verso indirizzi sotto il proprio controllo senza possibilità di revoca.

La risposta operativa ha previsto la migrazione alla versione 2.69 e l’avvio del percorso di ristoro attraverso il fondo SAFU di Binance. Trust Wallet ha indicato una procedura di notifica alle vittime e un form online per la richiesta di rimborso, senza divulgare il numero esatto degli utenti colpiti. Il periodo festivo e la diffusione su canale ufficiale hanno ampliato la superficie d’impatto, mentre la presenza di falsi supporti tecnici e di pagine di phishing ha aumentato il rischio di perdite ulteriori per chi, allarmato dall’incidente, ha inserito la seed phrase su siti clone che promettevano un “aggiornamento di sicurezza”.

Per gli utenti che sospettano compromissione, la priorità è la rigenerazione immediata di un nuovo wallet e la migrazione dei fondi residui; ogni ritardo prolunga la finestra di attacco. I portafogli toccati dalla versione 2.68 vanno considerati non più sicuri anche se apparentemente integri, poiché non è possibile escludere l’avvenuta esfiltrazione. L’impatto reputazionale per l’ecosistema e la frammentazione delle perdite tra più blockchain rendono più complessa la tracciabilità on-chain, mentre la prospettiva di rimborso tramite SAFU mitiga il danno finanziario per le vittime dirette ma non annulla i costi indiretti: interruzione operativa, stress degli utenti, tempo necessario alla riconciliazione e alla verifica delle transazioni.

Il quadro complessivo evidenzia come un singolo aggiornamento compromesso possa generare un effetto a catena: dall’adozione rapida della release difettosa alla dispersione dei fondi verso indirizzi multipli, fino all’amplificazione dell’incidente tramite campagne di social engineering. In assenza di un numero ufficiale di wallet coinvolti, la stima dei 7 milioni di dollari funge da indicatore di portata economica e sottolinea la criticità del controllo end-to-end sulla distribuzione di estensioni browser utilizzate per la custodia di criptovalute.

Misure di sicurezza e raccomandazioni future

Le azioni immediate prevedono la disattivazione della versione 2.68 dell’estensione Trust Wallet su Chrome e l’installazione della release 2.69 dallo store ufficiale. È essenziale evitare l’apertura della versione compromessa, verificare le autorizzazioni concesse al browser ed eliminare eventuali estensioni non necessarie. Per l’accesso al rimborso tramite SAFU di Binance, occorre utilizzare esclusivamente il form online indicato da Trust Wallet e seguire le istruzioni di verifica fornite dall’azienda.

  • Non condividere la seed phrase in nessuna circostanza: non è richiesta per aggiornamenti o supporto.
  • Controllare l’URL ufficiale di Trust Wallet e ignorare link provenienti da email, social o annunci non verificati.
  • Se si sospetta esposizione, creare un nuovo wallet, rigenerare la seed phrase e trasferire i fondi residui.
  • Abilitare avvisi di sicurezza sul browser e rimuovere permessi superflui concessi alle estensioni.
  • Seguire gli aggiornamenti pubblicati da Trust Wallet, Binance e fonti attendibili come Bleeping Computer.

Dal lato organizzativo, servono controlli strutturali lungo la pipeline di rilascio: segregazione dei privilegi, code review a più firme, firma deterministica degli artefatti, verifica delle dipendenze e monitoraggio degli hash pre-pubblicazione sul Chrome Web Store. L’adozione di canali di telemetry trasparenti, documentati e disattivabili lato utente riduce il margine di abuso di componenti etichettati come “metriche”. L’ipotesi di insider impone meccanismi di auditing continuo, rotazione chiavi, registri di accesso immutabili e procedure di post-mortem con divulgazione responsabile.

Per gli utenti avanzati, è consigliata la separazione operativa: utilizzare wallet distinti per custodia e spesa, mantenere una quota su dispositivi hardware non esposti al browser e limitare l’uso di estensioni per la detenzione di somme rilevanti. L’educazione anti-phishing resta centrale: nessun “aggiornamento di sicurezza” legittimo richiede l’inserimento della seed phrase. L’adozione di liste di blocco per domini sospetti e il confronto degli indirizzi ufficiali prima di qualsiasi interazione sensibile mitigano i rischi residui.

FAQ

  • Devo rimuovere o disattivare l’estensione compromessa?

    Disattivare immediatamente la versione 2.68 e installare la 2.69 dal canale ufficiale del Chrome Web Store.

  • Il rimborso è garantito e come si richiede?

    Sì, tramite il fondo SAFU di Binance. Seguire il form ufficiale indicato da Trust Wallet e completare le verifiche richieste.

  • La seed phrase può essere richiesta dal supporto?

    No. Nessun supporto legittimo chiede la seed phrase. Qualsiasi richiesta è un tentativo di phishing.

  • L’app mobile è interessata dall’incidente?

    No, l’impatto riguarda l’estensione per Chrome versione 2.68; l’app mobile non risulta coinvolta.

  • Cosa fare se penso di aver inserito la seed phrase su un sito clone?

    Creare subito un nuovo wallet, generare una nuova seed phrase e trasferire i fondi residui.

  • Quali pratiche riducono il rischio in futuro?

    Aggiornare solo da canali ufficiali, usare wallet separati, preferire dispositivi hardware per somme elevate e monitorare gli avvisi di sicurezza.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.

 

Powered by atecplugins.com