Источник: Coindoo Оригинальный заголовок: Trust Wallet Warns Users as Chrome Extension Remains Unavailable Оригинальная ссылка: https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

Фон

Выпуск обновленного расширения Trust Wallet для браузера был приостановлен после неожиданной проблемы с Google Chrome Web Store, что усложнило попытки помочь пользователям, пострадавшим от недавнего нарушения безопасности.

По словам генерального директора Trust Wallet, Эовин Чен, расширение в настоящее время недоступно, пока команда разбирается с тем, что она описала как баг на стороне платформы.

Основные моменты

• Обновление расширения Trust Wallet для Chrome задержано из-за проблемы с Google Chrome Web Store.
• Отложенный релиз включает инструменты для жертв взлома для проверки кошельков и подачи заявлений на возмещение.
• Больше заявлений было подано, чем подтверждено пострадавших кошельков, что вызывает опасения по поводу дублирующих и мошеннических запросов.
• Пользователям рекомендуется быть осторожными и остерегаться поддельных расширений Trust Wallet во время простоя.

Текущий статус

Чен объяснила, что задержка релиза была связана с добавлением новой функциональности, специально предназначенной для помощи жертвам атаки в рождественский день в проверке их кошельков и подаче заявлений на возмещение. Задержка повысила срочность ситуации, поскольку Trust Wallet продолжает обрабатывать заявления, связанные с инцидентом.

На данный момент компания выявила 2 596 адресов кошельков, которые были непосредственно затронуты взломом. Однако процесс подачи заявлений оказался сложным. Чен отметила, что уже было подано примерно 5 000 заявлений, что указывает на высокий уровень дублирующих или ложных запросов со стороны пользователей, пытающихся получить компенсацию мошенническим путем.

До тех пор, пока обновленное расширение не станет доступным, Чен призвала пользователей проявлять осторожность, предупреждая, что во время простоя могут появиться поддельные расширения Trust Wallet в Chrome Web Store, поскольку злоумышленники пытаются воспользоваться ситуацией.

Нарушение произошло после взлома в рождественский день, в результате которого злоумышленники украли более $7 миллионов долларов у пользователей Trust Wallet. Компания с тех пор обязалась полностью возместить пострадавшим. Этот инцидент вновь привлек внимание к рискам, связанным с браузерными криптокошельками и горячими кошельками, всегда подключенными к сети.

Уязвимость цепочки поставок в центре атаки

В отчете о пост-мортеме Trust Wallet заявил, что компрометация, скорее всего, связана с эксплойтом цепочки поставок “Sha1-Hulud” — более широким инцидентом в индустрии, нацелившимся на npm-пакеты, широко используемые разработчиками блокчейна. Согласно отчету, чувствительные учетные данные для разработки, хранящиеся в репозитории Trust Wallet на GitHub, были раскрыты во время эксплойта.

Этот взлом, предположительно, дал злоумышленнику доступ к исходному коду расширения Trust Wallet для браузера, а также к ключу API, связанному с его листингом в Chrome Web Store. Используя этот ключ, злоумышленник смог загрузить вредоносную версию расширения через официальный канал распространения.

Характер атаки породил спекуляции о внутренней причастности. Консультанты по блокчейну публично заявили, что уровень доступа, необходимый для атаки, делает инцидент крайне необычным и повышает вероятность внутреннего участника. Это мнение поддержали отраслевые наблюдатели, которые предположили, что знакомство злоумышленника с кодовой базой Trust Wallet указывает на человека с привилегированным доступом.

Пока Trust Wallet работает над восстановлением своего расширения для Chrome и завершением выплат, этот случай подчеркивает, как уязвимости цепочки поставок и скомпрометированные учетные данные могут подорвать даже устоявшуюся инфраструктуру криптовалют — и почему пользователей постоянно призывают проверять источники программного обеспечения и проявлять осторожность при использовании браузерных кошельков.