Команда Trust Wallet раскрыла детали инцидента с безопасностью, произошедшего 26 декабря и затронувшего браузерное расширение. В результате атаки злоумышленники получили доступ к средствам пользователей на сумму $8,5 млн, пострадали 2520 адресов.

Расследование показало, что взлом стал частью более широкой атаки на цепочку поставок Sha1-Hulud, выявленной еще в ноябре. Хакеры завладели секретами разработчиков на GitHub и API-ключом Chrome Web Store, после чего загрузили вредоносную версию расширения 2.68, зарегистрировали фишинговый домен для сбора сид-фраз и ключей и распространили обновление среди пользователей. Уязвимая версия оставалась активной с 24 по 26 декабря, после чего расширение было откатано до версии 2.69, а скомпрометированные ключи отозваны.