Dzielimy się aktualizacją w trakcie pracy na temat incydentu związanego z Rozszerzeniem Przeglądarki v2.68. 1/ Nasza obecna hipoteza dotycząca tego, jak doszło do tego ataku i co to oznacza dla szerszej branży. Pełne szczegóły znajdują się w blogu:

2/ Postrzegamy ten incydent nie tylko jako krytyczną lekcję dla Trust Wallet, ale także jako potencjalny punkt zwrotny dla szerszej branży. W miarę jak ataki na łańcuch dostaw stają się coraz bardziej wyrafinowane, wymagają zbiorowej świadomości i silniejszych zabezpieczeń.

3/ Co się stało: 24 grudnia 2025 Zewnętrznie przygotowana, nieautoryzowana i złośliwa wersja rozszerzenia przeglądarki Trust Wallet v2.68 została opublikowana w Chrome Web Store poza naszym standardowym procesem wydania i przeglądu. Ta wersja zawierała złośliwy kod, który po załadowaniu umożliwił atakującemu dostęp do wrażliwych danych portfela i wykonywanie transakcji bez autoryzacji użytkownika.

5/ Podczas gdy nasze dochodzenie kryminalistyczne trwa, wierzymy, że może to reprezentować nową klasę ataków na łańcuch dostaw oprogramowania. Będziemy kontynuować dzielenie się aktualizacjami i mamy nadzieję, że te ustalenia pomogą branży lepiej rozpoznać i złagodzić podobne ryzyka.

6/ Bezpieczeństwo ma najwyższe znaczenie. Równolegle z dochodzeniem, aktywnie pracowaliśmy nad następującymi kwestiami: Reakcja na incydenty Już wdrożyliśmy dodatkowe zabezpieczenia i kontrole dotyczące: - Wydania rozszerzeń przeglądarki - Systemu wydania i dostępu do narzędzi - Monitorowania, aby zapobiec podobnym incydentom Dodatkowe wzmocnienie bezpieczeństwa Zwracamy uwagę na istniejące praktyki bezpieczeństwa Trust Wallet: - Pipeline'y publikacji aplikacji, skanowanie zależności, kontrola wersji i zabezpieczenia łańcucha dostaw - Globalne kontrole dostępu, zarządzanie poświadczeniami i polityki rotacji - Widoczność i audytowalność w procesach wydania i publikacji, aby poprawić wykrywanie anomalii - Procesy wykrywania incydentów, monitorowania, reakcji i komunikacji, aby umożliwić szybsze działania i większą przejrzystość.

7/ Dziękujemy naszej społeczności za czujność, wsparcie i opinie, gdy wspólnie przez to przechodzimy. Zdajemy sobie sprawę z wpływu, jaki ten incydent miał na naszą społeczność i dotkniętych użytkowników, i doceniamy waszą cierpliwość, gdy nasz zespół kontynuuje dochodzenie i realizację procesu zwrotu.

Proszę być świadomym oszustów. To jest ostatni tweet w tym wątku.