Người dùng Trust Wallet bị ảnh hưởng bởi vụ tấn công tiện ích mở rộng trình duyệt gần đây đang phải đối mặt với những sự chậm trễ mới sau khi nhà cung cấp ví điện tử này xác nhận rằng tiện ích mở rộng Chrome của họ đã tạm thời bị xóa khỏi Chrome Web Store.
Điều này dẫn đến việc làm chậm quá trình triển khai một công cụ xác minh yêu cầu bồi thường quan trọng liên quan đến sự cố.
Giám đốc điều hành của Trust Wallet, Eowyn Chen, cho biết tiện ích mở rộng này không khả dụng sau khi công ty gặp phải lỗi trên Chrome Web Store trong quá trình phát hành phiên bản mới.
Bản cập nhật bị trì hoãn nhằm mục đích giới thiệu tính năng xác minh được thiết kế để giúp các nạn nhân của vụ hack ngày Giáng sinh xác nhận quyền sở hữu ví và gửi yêu cầu bồi thường một cách an toàn.
Ông Chen cho biết Google đã thừa nhận vấn đề và đang chuyển tiếp nó lên cấp cao hơn trong nội bộ công ty, đồng thời cảnh báo người dùng nên cảnh giác với các phiên bản giả mạo hoặc mạo danh của tiện ích mở rộng đang lan truyền trên mạng.
Kẻ tấn công đã lợi dụng bản cập nhật giả mạo của Trust Wallet để đánh cắp tiền.
Sự cố này xảy ra trong bối cảnh Trust Wallet vẫn đang nỗ lực khắc phục hậu quả từ vụ vi phạm an ninh bắt đầu diễn ra vào cuối tháng 12.
Vào ngày 25 tháng 12, công ty xác nhận rằng một phiên bản độc hại của tiện ích mở rộng trình duyệt Chrome của họ , phiên bản 2.68, đã được phân phối thông qua Chrome Web Store ngoài quy trình phát hành thông thường.
Lỗ hổng bảo mật này cho phép kẻ tấn công truy cập dữ liệu ví nhạy cảm và thực hiện các giao dịch trái phép, dẫn đến thiệt hại hàng triệu đô la.
Cuộc điều tra nội bộ của Trust Wallet cho thấy chỉ những người dùng đã cài đặt phiên bản 2.68 và đăng nhập vào ví của họ trong khoảng thời gian từ ngày 24 đến ngày 26 tháng 12 mới bị ảnh hưởng.
Người dùng ứng dụng di động, người dùng các phiên bản tiện ích mở rộng khác và những người đã cài đặt hoặc đăng nhập sau ngày 26 tháng 12 không bị ảnh hưởng.
Công ty cho biết họ đã xác định được 2.520 địa chỉ ví bị rút hết tiền trong sự cố này, với khoảng 8,5 triệu đô la tài sản liên quan đến 17 ví do kẻ tấn công kiểm soát.
Tuy nhiên, ví điện tử này lưu ý rằng một số địa chỉ tấn công đó cũng nhắm mục tiêu vào các ví không liên quan đến Trust Wallet.
Các nhà nghiên cứu bảo mật sau đó đã xác nhận rằng bản dựng độc hại này trông có vẻ hợp pháp và đã vượt qua quy trình kiểm duyệt của Chrome, nhưng lại chứa mã ẩn có khả năng trích xuất cụm từ khôi phục.
Một số người dùng cho biết chỉ cần nhập Seed Phrase vào tiện ích mở rộng đã kích hoạt dòng tiền chảy ra ngay lập tức trên nhiều chuỗi khối.
Trust Wallet khắc phục sự cố hack tiện ích mở rộng; Báo cáo gia tăng các vụ lừa đảo bồi thường giả mạo
Trust Wallet đã truy vết vụ xâm phạm này bắt nguồn từ một cuộc tấn công chuỗi cung ứng quy mô lớn hơn có tên là Sha1-Hulud, xuất hiện vào tháng 11 và ảnh hưởng đến nhiều công ty thông qua các công cụ phát triển bị xâm phạm.
Công ty cho biết các thông tin bí mật của GitHub bị lộ và khóa API của Chrome Web Store bị rò rỉ đã cho phép kẻ tấn công tải trực tiếp tiện ích mở rộng độc hại lên, bỏ qua các bước kiểm tra phê duyệt nội bộ.
Để đối phó, Trust Wallet đã khôi phục lại phiên bản cũ, phát hành phiên bản 2.69 và vô hiệu hóa thông tin đăng nhập bị xâm phạm. Họ cũng tuyên bố một chương trình hoàn tiền tự nguyện, như đã hứa với tất cả những người được xác định là nạn nhân.
Vào ngày 29 tháng 12, họ đã mở một quy trình khiếu nại chính thức , trong đó người dùng được yêu cầu cung cấp địa chỉ ví, mã băm giao dịch và thông tin nhận dạng thông qua cổng hỗ trợ chính thức.
Trong phản hồi đối với hơn 5.000 khiếu nại, công ty cho biết họ đã nhận được rất nhiều khiếu nại, trong khi số lượng ví bị ảnh hưởng được xác minh lại thấp hơn nhiều, và điều này gây lo ngại rằng có thể có các khiếu nại trùng lặp hoặc giả mạo.
Chính sự khác biệt đó đã dẫn đến việc tạo ra một cơ chế xác minh khác, lẽ ra sẽ được cung cấp trong bản cập nhật tiếp theo của tiện ích mở rộng trình duyệt, nhưng đã bị trì hoãn do sự cố với Chrome Web Store.
Sự kiện này tiếp tục góp phần vào số lượng ngày càng tăng các vụ việc liên quan đến ví điện tử trong ngành công nghiệp tiền điện tử.
Dữ liệu ngành cho thấy tỷ lệ các vụ xâm phạm ví cá nhân tiếp tục tăng lên cùng với tỷ lệ tiền bị đánh cắp.
