出典:Coindooオリジナルタイトル:Trust Wallet、セキュリティコントロールを強化したブラウザ拡張機能を復活オリジナルリンク:https://coindoo.com/trust-wallet-brings-back-browser-extension-with-new-security-controls/Trust Walletは、数週間にわたる供給チェーン攻撃に関連した混乱の後、Chromeブラウザ拡張機能を再びオンラインに戻しました。これは、今年最も被害の大きかったウォレットの脆弱性の一つからの回復において重要な一歩です。復旧版は、単に通常の使用を再開するだけでなく、ハッキング後に浮上した問題、すなわち本物の被害者と詐欺的な返金請求の急増を区別するための修正も目的としています。## 重要なポイント- **Trust WalletのChrome拡張機能は、約850万ドルの損失に関連した供給チェーンの侵害後、再び稼働しています。**- **新しいリリースには、返金のためのウォレット所有権を確認する拡張内検証機能が追加されました。**- **攻撃は、モバイルアプリではなく、侵害されたブラウザ拡張から発生しました。**- **偽または重複した請求が非常に多く、より厳格な検証措置が必要となりました。**新たに公開されたバージョン2.71.0は、Trust Walletのサポートチームが直接ウォレット所有権を確認できる拡張内検証コードシステムを導入しています。同社は、この機能が、確認された被害者よりもはるかに多い請求を受けた後に返金を再開するために不可欠だと述べています。Eowyn Chenは、Chrome Web Storeからの拡張機能の一時的な消失は、アップデート展開中にプラットフォーム側の問題によるものだと述べました。Googleはこの問題を認識し、内部でエスカレーションを行い、拡張機能の復旧を可能にしました。Chenはまた、ユーザーに対して注意を促し、高プロファイルの事件後には偽のマルウェアや悪意のある模倣拡張機能が頻繁に出現することを警告しました。## クリスマス攻撃、数ヶ月にわたる準備この事件は、クリスマスイブにさかのぼります。攻撃者は静かにTrust Walletのブラウザ拡張機能の改ざんされたバージョン2.68を配布しました。約48時間の間に、インストールまたは更新したユーザーは複数のブロックチェーンネットワークにわたって資金が流出し、総損失は約850万ドルと推定されました。Trust Walletは後に、影響を受けたウォレットアドレスは2,500を少し超える程度であると確認しました。調査官は、この攻撃が11月のSha1-Hulud供給チェーンの侵害と関連していると考えています。この侵害はnpmソフトウェアエコシステムを標的とし、数千の暗号関連リポジトリに影響を与えました。セキュリティ研究者は、攻撃者が数週間前からインフラを準備し、12月8日にはシステムを構築していたと指摘しています。脆弱性が特定されると、ホワイトハットの研究者たちは攻撃者のサーバーに対してサービス拒否(DoS)攻撃を試み、さらなる損失を抑えるのに役立ちました。Trust Walletは緊急に代替リリースを展開しましたが、追加のバグにより完全な復旧は遅れていました。## 返金と二次的脅威Trust Walletは、影響を受けたのはブラウザ拡張だけであり、モバイルアプリは安全であると強調しましたが、その後の対応は新たな課題を生み出しました。影響を受けたウォレットは2,600未満と特定されましたが、同社には5,000件以上の返金請求が寄せられました。大手取引所が所有しながら独立して運営されているTrust Walletは、すべての確認済み被害者に返金されることを確認しました。ただし、Chenは、重複や詐欺の請求がプラットフォームの検証プロセスを厳格化せざるを得なくしたと認めました。バージョン2.71.0に組み込まれた検証コード機能は、そのボトルネックを解消し、請求を直接影響を受けたウォレットに結びつけることで、誤った支払いのリスクを低減することを目的としています。この一連の出来事は、即時の回復だけでなく、暗号ユーザーが直面するより広範な問題も浮き彫りにしています。特に、攻撃者が開発者が依存するソフトウェア供給チェーンを悪用する場合、ブラウザ拡張は依然として高リスクの表面です。Trust Walletにとって、拡張機能の復旧は第一歩に過ぎず、供給チェーン侵害後のユーザーの信頼回復にははるかに時間がかかる可能性があります。
Trust Wallet、ブラウザ拡張機能を新しいセキュリティコントロールとともに復活させる
出典:Coindoo オリジナルタイトル:Trust Wallet、セキュリティコントロールを強化したブラウザ拡張機能を復活 オリジナルリンク:https://coindoo.com/trust-wallet-brings-back-browser-extension-with-new-security-controls/
Trust Walletは、数週間にわたる供給チェーン攻撃に関連した混乱の後、Chromeブラウザ拡張機能を再びオンラインに戻しました。これは、今年最も被害の大きかったウォレットの脆弱性の一つからの回復において重要な一歩です。
復旧版は、単に通常の使用を再開するだけでなく、ハッキング後に浮上した問題、すなわち本物の被害者と詐欺的な返金請求の急増を区別するための修正も目的としています。
重要なポイント
新たに公開されたバージョン2.71.0は、Trust Walletのサポートチームが直接ウォレット所有権を確認できる拡張内検証コードシステムを導入しています。同社は、この機能が、確認された被害者よりもはるかに多い請求を受けた後に返金を再開するために不可欠だと述べています。
Eowyn Chenは、Chrome Web Storeからの拡張機能の一時的な消失は、アップデート展開中にプラットフォーム側の問題によるものだと述べました。Googleはこの問題を認識し、内部でエスカレーションを行い、拡張機能の復旧を可能にしました。Chenはまた、ユーザーに対して注意を促し、高プロファイルの事件後には偽のマルウェアや悪意のある模倣拡張機能が頻繁に出現することを警告しました。
クリスマス攻撃、数ヶ月にわたる準備
この事件は、クリスマスイブにさかのぼります。攻撃者は静かにTrust Walletのブラウザ拡張機能の改ざんされたバージョン2.68を配布しました。約48時間の間に、インストールまたは更新したユーザーは複数のブロックチェーンネットワークにわたって資金が流出し、総損失は約850万ドルと推定されました。
Trust Walletは後に、影響を受けたウォレットアドレスは2,500を少し超える程度であると確認しました。調査官は、この攻撃が11月のSha1-Hulud供給チェーンの侵害と関連していると考えています。この侵害はnpmソフトウェアエコシステムを標的とし、数千の暗号関連リポジトリに影響を与えました。セキュリティ研究者は、攻撃者が数週間前からインフラを準備し、12月8日にはシステムを構築していたと指摘しています。
脆弱性が特定されると、ホワイトハットの研究者たちは攻撃者のサーバーに対してサービス拒否(DoS)攻撃を試み、さらなる損失を抑えるのに役立ちました。Trust Walletは緊急に代替リリースを展開しましたが、追加のバグにより完全な復旧は遅れていました。
返金と二次的脅威
Trust Walletは、影響を受けたのはブラウザ拡張だけであり、モバイルアプリは安全であると強調しましたが、その後の対応は新たな課題を生み出しました。影響を受けたウォレットは2,600未満と特定されましたが、同社には5,000件以上の返金請求が寄せられました。
大手取引所が所有しながら独立して運営されているTrust Walletは、すべての確認済み被害者に返金されることを確認しました。ただし、Chenは、重複や詐欺の請求がプラットフォームの検証プロセスを厳格化せざるを得なくしたと認めました。
バージョン2.71.0に組み込まれた検証コード機能は、そのボトルネックを解消し、請求を直接影響を受けたウォレットに結びつけることで、誤った支払いのリスクを低減することを目的としています。
この一連の出来事は、即時の回復だけでなく、暗号ユーザーが直面するより広範な問題も浮き彫りにしています。特に、攻撃者が開発者が依存するソフトウェア供給チェーンを悪用する場合、ブラウザ拡張は依然として高リスクの表面です。Trust Walletにとって、拡張機能の復旧は第一歩に過ぎず、供給チェーン侵害後のユーザーの信頼回復にははるかに時間がかかる可能性があります。