Echa incydentu z rozszerzeniem Chrome Trust Walletu rozprzestrzeniły się 26 grudnia. Czampong Zhao publicznie wyraził swoje zdanie, wskazując na możliwość zaangażowania osób wewnętrznych.
Ten komentarz został wydany w momencie, gdy Trust Wallet przyznał, że około 7 milionów dolarów wartości aktywów użytkowników zostało dotkniętych.
Zaangażowanie osób wewnętrznych w śledztwo
Czampong Zhao podkreślił, że Trust Wallet zrekompensuje użytkownikom pełną kwotę, zapewniając, że aktywa klientów są bezpieczne.
Z drugiej strony, stwierdził, że trwa śledztwo w sprawie tego, jak złośliwa aktualizacja rozszerzenia przeszła przez zarządzanie dystrybucją, wskazując, że prawdopodobieństwo wewnętrznej zmowy jest 'najwyższe'.
To oświadczenie zwiększyło obawy nie tylko o ataki zewnętrzne, ale także o dostęp wewnętrzny i zarządzanie aktualizacjami.
Trust Wallet ponownie wyjaśnił, że ten incydent dotyczył tylko wersji 2.68 rozszerzenia przeglądarki i nie miał wpływu na użytkowników mobilnych ani inne wersje.
Firma postępuje z finalizacją procedur odszkodowawczych i zapowiedziała wydanie jasnych wskazówek dla odpowiednich użytkowników.
Z drugiej strony, apeluje do użytkowników, aby byli czujni na phishingowe oszustwa podszywające się pod oficjalne wsparcie.
Podejrzenia o wewnętrzne zaangażowanie szczególnie przyciągają uwagę w dziedzinie bezpieczeństwa kryptowalut. Aktualizacje rozszerzeń przeglądarki wymagają kluczy podpisowych, certyfikacji deweloperów i zatwierdzonych procesów.
Jeśli złośliwe wersje zostały dystrybuowane za pośrednictwem oficjalnego sklepu Chrome, śledztwo zazwyczaj weryfikuje wyciek danych uwierzytelniających lub bezpośredni dostęp wewnętrzny.
W każdym przypadku problemem nie są tradycyjne luki w oprogramowaniu, lecz niedobory bezpieczeństwa operacyjnego.
Te ryzyka nie są teoretyczne. W ciągu ostatniego roku miało miejsce wiele dużych incydentów związanych z rozszerzeniami przeglądarki, które były wynikiem przejęcia kont deweloperów lub naruszeń w pipeline'ach wydania.
TWT token chwilowo spadł, ale odbił się.
Rynek odzwierciedlił niepewność. Własny token Trust Wallet TWT spadł gwałtownie po pierwszym raporcie z 25 grudnia.
Jednakże, ponieważ straty były ograniczone, a odszkodowanie zostało potwierdzone, cena ustabilizowała się i odbiła 26 grudnia.
Trust Wallet szybko podjął działania w celu rozwiązania sytuacji, ale ten incydent uwydatnił problemy całej branży.
W miarę jak portfele kryptowalutowe coraz bardziej polegają na rozszerzeniach przeglądarki, bezpieczeństwo aktualizacji i zarządzanie ryzykiem wewnętrznym stały się nie tylko problemami drugorzędnymi, ale kluczowymi obszarami ataków.
