バイナンスCEOの声明
バイナンスのCEO、Changpeng Zhaoは、最近発生したTrust Walletのハッキングに関して、資金が「SAFU」であることを明確にしました。会社は、700万ドルの盗難被害者に対して自社の財務から補償を行う予定です。
Trust Walletのハッキング詳細
Trust Walletのブラウザ拡張版2.68が最近侵害され、攻撃者はこの特定のバージョンの脆弱性を利用して、ユーザーのウォレットから暗号通貨を引き出しました。ウォレット側はこの侵害を認め、セキュリティホールを修正したパッチ版(バージョン2.69)をリリースしました。
デスクトップでTrust Walletのブラウザ拡張版2.68を実行しているユーザーは現在危険にさらされていますので、拡張アイコンをクリックしたり、開こうとしたりしないでください。
侵害されたバージョン(2.68)を開くと、エクスプロイトが発動し、資金が引き出される可能性があります。
盗難の規模と資金の移動
セキュリティ企業のPeckShieldは、盗難の規模が初期の推定よりも大きいと報告しています。初期の報告では280万ドルが盗まれたとされましたが、さらなる分析によりこの数字は600万ドルに達する可能性があることが確認されました。
攻撃者は盗まれた資金を積極的に移動させ、混合したり現金化したりしています。約280万ドルは、ビットコイン、EVM(Ethereum Virtual Machine)チェーン、ソラナの攻撃者のアドレスにまだ残っていますが、大部分(400万ドル以上)は中央集権型取引所に送られています。
具体的には、330万ドルがChangeNOW、44.7万ドルがKuCoin、34万ドルがFixedFloatに送られています。
今後の調査
Zhao氏は、チームがハッカーがどのようにして「新しいバージョン」(バージョン2.68)をChromeウェブストアに提出できたのかを調査していることに言及しています。これは、ハッキングがリリースパイプラインの侵害であったことを示唆しています。
このセキュリティの失敗は、侵害された従業員またはGoogleウェブストアにアップデートをプッシュする権限を持つ悪意のある開発者が関与していた可能性があります。
