Die Nachwirkungen des Vorfalls mit der Chrome-Erweiterung von Trust Wallet weiteten sich am 26. Dezember aus. Herr Chanpon Jiao äußerte sich öffentlich und wies auf die Möglichkeit interner Beteiligung hin.
Dieser Kommentar wurde zu einem Zeitpunkt abgegeben, als Trust Wallet anerkannte, dass etwa 7 Millionen Dollar an Nutzervermögen betroffen waren.
Die Beteiligung interner Akteure steht im Mittelpunkt der Ermittlungen.
Herr Chanpon Jiao betonte, dass Trust Wallet den betroffenen Nutzern den vollen Betrag entschädigen wird und dass die Vermögenswerte der Kunden sicher sind.
Er wies darauf hin, dass die Untersuchung fortgesetzt wird, warum ein Update der böswilligen Erweiterungen die Verteilungskontrolle bestanden hat, und er merkte an, dass die Möglichkeit interner Vergehen "am wahrscheinlichsten" sei.
Diese Äußerung führte zu einer verstärkten Besorgnis über Angriffe von außen sowie über den internen Zugriff und die Governance von Updates.
Trust Wallet erklärte später, dass dieser Vorfall nur die Browsererweiterungs-Version 2.68 betroffen hat und Mobilnutzer sowie andere Versionen nicht betroffen waren.
Das Unternehmen arbeitet an den letzten Anpassungen des Entschädigungsverfahrens und wird klare Anleitungen für die betroffenen Nutzer herausgeben.
Gleichzeitig wird die Nutzer aufgefordert, sich vor Phishing-Betrügereien zu hüten, die sich als offizieller Support ausgeben.
Der Verdacht auf interne Beteiligung zieht auch im Bereich der Krypto-Sicherheit besondere Aufmerksamkeit auf sich. Updates von Browsererweiterungen benötigen Signaturschlüssel, Entwicklerzertifikate und Genehmigungsworkflows.
Sollte ein bösartiger Build über den offiziellen Chrome Web Store verteilt worden sein, wird die Untersuchung normalerweise die Offenlegung von Anmeldeinformationen oder den direkten internen Zugriff überprüfen.
In jedem Fall ist nicht die klassische Software-Schwachstelle, sondern die unzureichende Sicherheit im Betrieb das Problem.
Diese Risiken sind kein theoretisches Thema. Im vergangenen Jahr gab es mehrere große Vorfälle mit Browsererweiterungen, die durch die Übernahme von Entwicklerkonten oder die Verletzung von Release-Pipelines verursacht wurden.
Der TWT-Token fiel kurzfristig, erholte sich jedoch.
Der Markt spiegelt ein Gefühl der Unklarheit wider. Der native Token von Trust Wallet, TWT, fiel nach dem ersten Bericht am 25. Dezember stark.
Da jedoch bestätigt wurde, dass die Verluste begrenzt sind und Entschädigungen erfolgen, stabilisierte sich der Preis am 26. Dezember und erholte sich.
Trust Wallet hat schnell Maßnahmen zur Beruhigung der Situation ergriffen, aber dieser Vorfall hat die Herausforderungen der gesamten Branche aufgezeigt.
Da Krypto-Wallets zunehmend von Browsererweiterungen abhängig sind, sind die Sicherheit von Updates und das interne Risikomanagement keine Nebensache mehr, sondern ein wichtiges Ziel für Angriffe.
