Trust Wallet повертає розширення для браузера з новими засобами безпеки

Джерело: Coindoo Оригінальна назва: Trust Wallet повертає браузерне розширення з новими засобами безпеки Оригінальне посилання: https://coindoo.com/trust-wallet-brings-back-browser-extension-with-new-security-controls/

Trust Wallet повернув своє розширення для браузера Chrome онлайн після багатотижневої зупинки, пов’язаної з високорозвиненою атакою на ланцюг постачання, що є важливим кроком у його відновленні після однієї з найшкідливіших експлуатацій гаманців цього року.

Відновлена версія створена не лише для відновлення нормальної роботи, а й для вирішення проблеми, яка виникла після зламу: відокремлення справжніх жертв від потоку шахрайських вимог про компенсацію.

Основні висновки

• Розширення Trust Wallet для Chrome знову в роботі після зламу ланцюга постачання, що спричинив приблизно $8.5 мільйонів збитків.
• Нова версія додає вбудовану перевірку для підтвердження володіння гаманцем під час компенсацій.
• Атака виникла через зламане розширення браузера, а не через мобільні додатки.
• Незвичайно велика кількість фальшивих або дублюючих вимог змусила запровадити більш суворі заходи перевірки.

Новий випуск версії 2.71.0 вводить систему коду верифікації всередині розширення, яка дозволяє команді підтримки Trust Wallet безпосередньо підтверджувати володіння гаманцем. Компанія заявляє, що ця функція є необхідною для відновлення процесу компенсацій після отримання набагато більшої кількості вимог, ніж підтверджених жертв.

Еовін Чен повідомила, що короткочасне зникнення розширення з Chrome Web Store було викликане проблемою на стороні платформи, яка виникла під час розгортання оновлення. Google визнав проблему і підняв її внутрішньо, що дозволило розширенню повернутися. Чен також закликала користувачів бути обережними, попереджаючи, що фальшиві або зловмисні імітаційні розширення часто з’являються після високопрофільних інцидентів.

Атака на Різдво, що готувалася місяцями

Інцидент почався на Різдво, коли зловмисники тихо поширили підроблену версію 2.68 розширення Trust Wallet для браузера. За приблизно 48 годин користувачі, які встановили або оновили до зламаної версії, побачили, як кошти були виведені з кількох блокчейн-мереж, а загальні збитки оцінюються близько $8.5 мільйонів.

Пізніше Trust Wallet підтвердив, що понад 2,500 адрес гаманців були уражені. Дослідники вважають, що атака була пов’язана з компрометацією ланцюга постачання Sha1-Hulud у листопаді, яка торкнулася екосистеми npm і вплинула на тисячі репозиторіїв, пов’язаних з криптовалютами. Фахівці з безпеки зазначили, що зловмисники готували інфраструктуру за кілька тижнів наперед, створюючи системи ще з 8 грудня.

Після виявлення експлойту дослідники-біло-капелюхи намагалися зірвати сервери зловмисників за допомогою атак відмови в обслуговуванні, що допомогло обмежити подальші втрати. Trust Wallet швидко випустив оновлення-заміщення, але додаткова помилка затримала повне відновлення до цього часу.

Відшкодування та друга загроза

Хоча Trust Wallet наголошував, що уражено лише браузерне розширення — і мобільні додатки залишилися безпечними — наслідки створили нову проблему. Незважаючи на те, що було виявлено менше ніж 2,600 уражених гаманців, компанія отримала понад 5,000 вимог на компенсацію.

Власнею великої біржі, але незалежною у роботі, Trust Wallet підтвердив, що всі підтверджені жертви отримають компенсацію. Однак Чен визнав, що дублюючі та шахрайські вимоги змусили платформу посилити процес перевірки.

Функція коду верифікації, вбудована у версію 2.71.0, має вирішити цю проблему, прив’язуючи вимоги безпосередньо до уражених гаманців, зменшуючи ризик фальшивих виплат.

Крім негайного відновлення, цей випадок висвітлює ширшу проблему для користувачів криптовалют: браузерні розширення залишаються високоризиковою поверхнею, особливо коли зловмисники використовують уразливості у ланцюгах постачання програмного забезпечення, на які покладаються розробники. Для Trust Wallet відновлення розширення — лише перший крок, а відновлення довіри користувачів після зламу ланцюга постачання може зайняти набагато більше часу.