受近期瀏覽器擴展程序攻擊影響的 Trust Wallet 用戶面臨新的延遲,該錢包提供商已確認其 Chrome 擴展程序已暫時從 Chrome 網上應用商店下架。
這導致與該事件相關的關鍵索賠驗證工具的推廣速度放緩。
Trust Wallet 首席執行官 Eowyn Chen表示,該公司在嘗試發佈新版本時遇到了 Chrome 網上應用商店的一個漏洞,導致該擴展程序無法使用。
此次延遲更新旨在引入一項驗證功能,以幫助聖誕節當天黑客攻擊的受害者確認錢包所有權並安全地提交賠償申請。
陳表示,谷歌已經承認了這個問題,並正在內部加緊處理,同時警告用戶警惕網上流傳的虛假或仿冒的擴展程序版本。
攻擊者利用虛假的Trust Wallet更新竊取資金
此次服務中斷正值 Trust Wallet 繼續應對 12 月下旬開始發生的安全漏洞事件的影響之際。
12 月 25 日, 該公司證實,其 Chrome 瀏覽器擴展程序的惡意版本2.68 已通過 Chrome 網上應用商店分發,而這並非其正常發佈流程。
被攻破的擴展程序使攻擊者能夠訪問敏感的錢包數據並執行未經授權的交易,導致數百萬美元的損失。
Trust Wallet 的內部調查顯示,只有在 12 月 24 日至 12 月 26 日期間安裝了 2.68 版本並登錄了錢包的用戶才會受到影響。
移動應用用戶、其他擴展版本用戶以及 12 月 26 日之後安裝或登錄的用戶均未受到影響。
該公司表示,他們已確定在此次事件中被盜刷的 2520 個錢包地址,涉及約 850 萬美元的資產,這些資產與 17 個攻擊者控制的錢包有關。
不過,該錢包指出,其中一些攻擊者地址也攻擊了與 Trust Wallet 無關的錢包。
安全研究人員後來證實,該惡意版本看起來合法,並通過了 Chrome 的審核流程,但其中包含能夠提取恢復短語的隱藏代碼。
一些用戶表示,只需將助記詞導入擴展程序,就會立即導致多個區塊鏈上的資金流出。
Trust Wallet 清理擴展程序被黑事件;虛假補償詐騙案件增多
Trust Wallet 將此次數據洩露事件追溯到名為 Sha1-Hulud 的更廣泛的供應鏈攻擊,該攻擊於 11 月出現,並通過被入侵的開發者工具影響了多家公司。
該公司表示,洩露的 GitHub 機密信息和洩露的 Chrome 網上應用商店 API 密鑰使攻擊者能夠直接上傳惡意擴展程序,繞過內部審批檢查。
作為回應,Trust Wallet 回滾到乾淨版本,發佈了2.69 版本,並禁用了被盜用的發佈憑證。該公司還宣佈了一項自願賠償計劃,承諾向所有受害者提供賠償。
12 月 29 日,該公司啟動了正式的索賠流程,要求用戶通過官方支持門戶網站提供錢包地址、交易哈希和身份信息。
針對超過 5000 起索賠,該公司表示,由於已核實的受影響錢包數量遠低於實際數量,因此索賠數量過多,令人擔憂的是,可能存在重複或虛假索賠。
正是由於這種差異,才導致了另一種驗證機制的創建。該機制原本應該在瀏覽器擴展程序的下一次更新中提供,但由於 Chrome 網上應用商店的問題而被推遲了。
這一事件進一步加劇了加密貨幣行業中與錢包相關的各種事件的發生。
行業數據顯示,個人錢包被盜的比例隨著被盜資金比例的上升而持續增加。
