在 Trust Wallet 的 Chrome扩展发生泄露事件后,该事件于 2023 年 12 月 26 日再次升温,当时赵长鹏 (赵长鹏) 公开认为,泄露可能是内部人员造成的。
Trust Wallet证实,迄今为止,其用户约有700万镁的资金受到影响,此后该消息才浮出水面。
调查的主要方向是采取内部调查方法。
赵长鹏表示,Trust Wallet将向所有受影响的用户提供全额退款,并保证客户资金安全。
不过,他补充说,调查人员仍在努力查明为什么恶意 Chrome扩展更新能够超越预发布测试,并认为内部人员干预这一过程“极有可能”。
这些声明引发了人们对内部访问管理和软件更新流程的担忧,而不仅仅是对外部攻击的担忧。
Trust Wallet 后来证实,该问题仅影响浏览器扩展程序版本 2.68,并进一步点击移动设备用户和其他版本用户不受影响。
该公司表示,正在完善退款流程,并将很快向受影响的用户发送具体说明。
在此期间,用户需要警惕冒充官方支持部门的仿盘活动。
有关疑似内部人员参与此次事件的信息引起了加密安全社群的广泛关注。扩展浏览器扩展程序需要签名密钥、开发者凭证以及严格的更新审批流程。
对于通过官方Chrome 网上应用店发布的恶意更新,调查人员通常会考虑两种可能性:被盗的登录凭证或内部人员直接串通。
无论具体情况如何,这都指向内部安全漏洞,而不是传统的软件工程缺陷。
这些风险并非纸上谈兵。过去一年中,多起涉及热门扩展的事件都源于开发者账户被盗用或发布流程遭到破坏。
TWT代币价格在短暂下降后回升。
市场反应表明市场不稳定。Trust Wallet 的原生代币TWT 在 2023 年 12 月 25 日发布首份报告后遭遇大幅抛售。
然而,在 Trust Wallet 确认损失已得到控制并计划向用户退款后,TWT 的价格于 2023 年 12 月 26 日趋稳定并恢复。
TWT代币盘面。来源: CoinGecko尽管 Trust Wallet 迅速处理了这起事件,次件事凸显了整个行业面临的一个重大挑战。
随着加密钱包越来越依赖浏览器扩展,安全更新和内部人员挖矿的风险正在成为一个严重的漏洞,而不是该领域的一个小问题。
