Trust Wallet 推出带有新安全控制的浏览器扩展程序

来源：Coindoo 原始标题：Trust Wallet 带回浏览器扩展并新增安全控制 原始链接：https://coindoo.com/trust-wallet-brings-back-browser-extension-with-new-security-controls/

Trust Wallet 已经将其 Chrome 浏览器扩展重新上线，此前由于一次高度协调的供应链攻击导致数周中断，这标志着其从今年最具破坏性的钱包漏洞之一中恢复的重要一步。

此次恢复版本不仅旨在恢复正常使用，还解决了黑客攻击后出现的问题：将真正的受害者与大量虚假赔偿请求区分开来。

主要要点

• Trust Wallet 的 Chrome 扩展在一次供应链漏洞后重新上线，相关损失约为 850 万美元。
• 新版本增加了扩展内验证功能，以确认钱包所有权，从而进行赔偿。
• 此次攻击源于被破坏的浏览器扩展，而非移动应用程序。
• 大量虚假或重复的索赔迫使平台采取更严格的验证措施。

新发布的版本 2.71.0 引入了扩展内验证代码系统，允许 Trust Wallet 的支持团队直接确认钱包所有权。公司表示，此功能对于在收到远超受害者数量的索赔后重新启动赔偿流程至关重要。

Eowyn Chen 表示，扩展在 Chrome Web Store 的短暂下架是由于在推送更新时遇到的平台端问题。谷歌已确认此问题并在内部升级处理，使扩展得以恢复。Chen 还提醒用户保持警惕，警告在重大事件发生后，假冒或恶意的类似扩展经常出现。

一个圣诞节前后数月酝酿的攻击

事件追溯到平安夜，当时攻击者悄悄分发了被篡改的 Trust Wallet 浏览器扩展版本 2.68。在大约 48 小时内，安装或更新到受损版本的用户在多个区块链网络中资金被盗，累计损失估计接近 850 万美元。

Trust Wallet 后续确认，约有 2,500 个钱包地址受到影响。调查人员认为此次攻击与 11 月的 Sha1-Hulud 供应链漏洞有关，该漏洞影响了 npm 软件生态系统，波及数千个加密相关仓库。安全研究人员指出，攻击者提前数周准备基础设施，早在 12 月 8 日就开始部署系统。

一旦漏洞被发现，白帽研究人员试图通过拒绝服务攻击中断攻击者的服务器，帮助限制了进一步的损失。Trust Wallet 迅速推出了替代版本，但由于另一个漏洞，全面恢复直到现在才得以实现。

赔偿面临第二次威胁

虽然 Trust Wallet 强调只有浏览器扩展受到影响——其移动应用仍然安全——但事后带来了新的挑战。尽管确认受影响的钱包不到 2,600 个，公司仍收到了超过 5,000 份赔偿请求。

Trust Wallet 由一家主要交易所拥有，但独立运营，确认所有验证过的受害者都将获得赔偿。然而，Chen 承认，重复和虚假索赔迫使平台收紧验证流程。

版本 2.71.0 中嵌入的验证代码功能旨在解决这一瓶颈，通过将索赔直接绑定到受影响的钱包，降低虚假赔付的风险。

除了立即的恢复之外，此次事件还凸显了加密用户面临的更广泛问题：浏览器扩展仍然是高风险的攻击面，尤其是在攻击者利用开发者依赖的软件供应链时。对 Trust Wallet 来说，恢复扩展只是第一步——在供应链漏洞后重建用户信任可能还需要更长时间。