在 Trust Wallet 的 Chrome擴展發生洩露事件後,該事件於 2023 年 12 月 26 日再次升溫,當時趙長鵬 (趙長鵬) 公開認為,洩露可能是內部人員造成的。
Trust Wallet證實,迄今為止,其用戶約有700萬鎂的資金受到影響,此後該消息才浮出水面。
調查的主要方向是採取內部調查方法。
趙長鵬表示,Trust Wallet將向所有受影響的用戶提供全額退款,並保證客戶資金安全。
不過,他補充說,調查人員仍在努力查明為什麼惡意 Chrome擴展更新能夠超越預發佈測試,並認為內部人員干預這一過程“極有可能”。
這些聲明引發了人們對內部訪問管理和軟件更新流程的擔憂,而不僅僅是對外部攻擊的擔憂。
Trust Wallet 後來證實,該問題僅影響瀏覽器擴展程序版本 2.68,並進一步點擊移動設備用戶和其他版本用戶不受影響。
該公司表示,正在完善退款流程,並將很快向受影響的用戶發送具體說明。
在此期間,用戶需要警惕冒充官方支持部門的仿盤活動。
有關疑似內部人員參與此次事件的信息引起了加密安全社群的廣泛關注。擴展瀏覽器擴展程序需要簽名密鑰、開發者憑證以及嚴格的更新審批流程。
對於通過官方Chrome 網上應用店發佈的惡意更新,調查人員通常會考慮兩種可能性:被盜的登錄憑證或內部人員直接串通。
無論具體情況如何,這都指向內部安全漏洞,而不是傳統的軟件工程缺陷。
這些風險並非紙上談兵。過去一年中,多起涉及熱門擴展的事件都源於開發者賬戶被盜用或發佈流程遭到破壞。
TWT代幣價格在短暫下降後回升。
市場反應表明市場不穩定。Trust Wallet 的原生代幣TWT 在 2023 年 12 月 25 日發佈首份報告後遭遇大幅拋售。
然而,在 Trust Wallet 確認損失已得到控制並計劃向用戶退款後,TWT 的價格於 2023 年 12 月 26 日趨穩定並恢復。
TWT代幣盤面。來源: CoinGecko儘管 Trust Wallet 迅速處理了這起事件,次件事凸顯了整個行業面臨的一個重大挑戰。
隨著加密錢包越來越依賴瀏覽器擴展,安全更新和內部人員挖礦的風險正在成為一個嚴重的漏洞,而不是該領域的一個小問題。
