Джерело: Coindoo Оригінальна назва: Trust Wallet попереджає користувачів, оскільки розширення Chrome залишаються недоступними Оригінальне посилання: https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

Передумови

Випуск оновленого розширення Trust Wallet для браузера був призупинений після несподіваної проблеми з Google Chrome Web Store, що ускладнює зусилля щодо допомоги користувачам, які постраждали від недавнього порушення безпеки.

За словами генерального директора Trust Wallet, Еовін Чен, розширення наразі недоступне, поки команда працює над тим, що вона описала як баг на стороні платформи.

Основні висновки

• Оновлення розширення Trust Wallet для Chrome затримане через проблему з Google Chrome Web Store.
• Відкладений реліз включає інструменти для жертв зломів для перевірки гаманців і подання заяв на відшкодування.
• Більше заяв було подано, ніж підтверджених постраждалих гаманців, що викликає занепокоєння щодо дублікатів і шахрайства.
• Користувачам рекомендується бути обережними щодо підроблених розширень Trust Wallet під час простою.

Поточний стан

Чен пояснила, що затримка релізу була спрямована на додавання нової функціональності, спеціально розробленої для допомоги жертвам атаки в День Різдва у перевірці їхніх гаманців і поданні заяв на відшкодування. Затримка додала терміновості ситуації, оскільки Trust Wallet продовжує обробляти заявки, пов’язані з інцидентом.

На даний момент компанія визначила 2,596 адрес гаманців, які були безпосередньо уражені зломом. Однак процес подання заявок виявився складним. Чен зазначила, що вже було подано приблизно 5,000 заявок, що свідчить про високий обсяг дублікатів або фальшивих запитів від користувачів, які намагаються отримати компенсацію шахрайським шляхом.

Поки оновлене розширення не стане доступним, Чен закликала користувачів бути обережними, попереджаючи, що підроблені розширення Trust Wallet можуть з’явитися у Chrome Web Store, оскільки зловмисники намагаються використати плутанину під час простою.

Ця зупинка сталася після зломів у День Різдва, коли з Trust Wallet було вкрадено понад $7 мільйонів доларів. Компанія згодом пообіцяла повністю відшкодувати постраждалих користувачів. Інцидент знову привернув увагу до ризиків, пов’язаних із браузерними криптогаманцями та гарячими гаманцями, що завжди онлайн.

Вразливість у ланцюгу постачання, що стала причиною атаки

У звіті після розслідування Trust Wallet повідомила, що компрометація ймовірно була пов’язана з експлуатацією у ланцюгу постачання “Sha1-Hulud” — ширшого індустріального інциденту, що націлювався на npm-пакети, широко використовувані розробниками блокчейну. За даними звіту, чутливі облікові дані для розробки, збережені у репозиторії Trust Wallet на GitHub, були оприлюднені під час експлуатації.

Ця злам дала зловмиснику доступ до вихідного коду розширення Trust Wallet для браузера, а також до ключа API, пов’язаного з його переліком у Chrome Web Store. Використовуючи цей ключ, зловмисник зміг завантажити шкідливу версію розширення через офіційний канал розповсюдження.

Характер атаки породив спекуляції щодо внутрішнього залучення. Консультанти з блокчейну публічно заявили, що рівень доступу, необхідний для атаки, зробив інцидент надзвичайно незвичайним і підвищив ймовірність внутрішнього учасника. Це оцінювання підтримали й індустріальні спостерігачі, які припустили, що знайомство з кодовою базою Trust Wallet у зловмисника вказує на когось із привілейованим доступом.

Поки Trust Wallet працює над відновленням свого розширення для Chrome і завершенням процесу відшкодувань, цей випадок підкреслює, як уразливості у ланцюгу постачання та компрометовані облікові дані можуть підривати навіть усталені криптоінфраструктури — і чому користувачам знову й знову рекомендується перевіряти джерела програмного забезпечення і бути обережними при використанні браузерних гаманців.