Trust Wallet執行長Eowyn Chen表示,適用於Google Chrome網上應用商店的Trust Wallet瀏覽器擴充功能目前「暫時不可用」,這導致包含近期駭客事件受害者工具的新版本發布延遲。
「我們在發布新版本時遇到了Chrome網上應用商店的一個漏洞,」Chen在X平台上發文表示,並補充說被延遲的版本包含一項功能,旨在協助聖誕節駭客攻擊受害者驗證並提交他們的賠償申請。她在週日指出:
「截至目前,我們已確認2,596個受影響的錢包地址。從這一群體中,我們已收到約5,000份申請,這表明存在大量虛假或重複提交,試圖獲取受害者的賠償金。」
Chen還警告用戶,在最新版本上線之前,要對Chrome網上應用商店中的假冒Trust Wallet瀏覽器擴充功能保持「警惕」。
Trust Wallet在聖誕節期間遭到駭客攻擊,導致超過700萬美元的用戶資金被盜,Trust Wallet已同意向受害方進行全額賠償。這一事件突顯了加密貨幣錢包瀏覽器擴充功能以及與網際網路連線的熱錢包所面臨的安全風險。
Trust Wallet發布事後分析報告;CZ表示駭客可能是內部人員
根據Trust Wallet的事件報告分析,攻擊者很可能是透過「Sha1-Hulud」供應鏈漏洞入侵該錢包,此一漏洞經由破壞區塊鏈應用程式開發者使用的npm軟體包,影響整個加密貨幣產業。
報告指出,Trust Wallet的GitHub開發「機密資訊」在Sha1-Hulud事件中遭到外洩,這使得威脅行為者取得了Trust Wallet瀏覽器擴充功能原始碼以及Chrome網上應用商店應用程式介面(API)密鑰的存取權限。
根據該報告,駭客隨後利用這一API密鑰將惡意版本的Trust Wallet瀏覽器擴充功能上傳到Chrome網上應用商店。
政府間區塊鏈顧問Anndy Lian在駭客事件後表示:「這種‘駭客入侵’不是自然發生的。內部人員的可能性很高。」
幣安聯合創辦人CZ也同意駭客可能是內部人員,因為他們對Trust Wallet的程式碼表現出了高度熟悉。
