Konsekvenserne af Trust Wallets Chrome-udvidelses hændelse tog til den 26. december, efter Changpeng Zhao (CZ) udtalte sig offentligt og antydede, at bruddet kan have involveret en insider.
Komentaren kom samtidig med, at Trust Wallet bekræftede, at omkring 7 millioner dollars af brugernes midler indtil videre er berørt.
Indsideradgang som central undersøgelsesretning
CZ sagde, at Trust Wallet vil dække alle tab fuldt ud for de berørte brugere og understregede, at kundernes midler stadig er sikre.
Men han tilføjede, at efterforskere stadig undersøger, hvordan en kompromitteret browserudvidelse kunne slippe igennem distributionskontrollerne, og kaldte en insiderrolle for “mest sandsynlig.”
Udmeldingen forstærkede bekymringer om intern adgang og styring af opdateringer i stedet for kun et eksternt angreb.
Trust Wallet bekræftede senere, at hændelsen kun har ramt Browser Extension version 2.68 og gentog, at mobilbrugere og andre udgaver ikke blev berørt.
Selskabet oplyste, at det er ved at færdiggøre proceduren for at kompensere ramte brugere og udmelder tydelige instruktioner til dem, der er berørt.
I mellemtiden bør brugere fortsat være på vagt over for phishing-forsøg, der lader som om, de er officiel kundeservice.
Insider-vinklen vækker særlig opmærksomhed hos sikkerhedseksperter i krypto-verdenen. Browserudvidelser kræver signeringsnøgler, udvikler-legitimationsoplysninger og godkendelsesprocesser for at kunne offentliggøre opdateringer.
For at en ondsindet eller kompromitteret version kan distribueres via Chrome Web Store, undersøger efterforskere typisk enten stjålne legitimationsoplysninger eller intern adgang.
Begge scenarier peger på svagheder i den operative sikkerhed frem for en klassisk softwarefejl.
Sådanne risici er ikke teoretiske. Det seneste år har flere markante hændelser med browserudvidelser haft oprindelse i kaprede udviklerkonti eller kompromitterede release-processer.
TWT token falder kortvarigt før et opsving
Markedets reaktion afspejlede usikkerheden. Trust Wallets token, TWT, oplevede et markant salgspres efter de første meldinger den 25. december.
Men kursen stabiliserede sig og steg igen den 26. december, efter det blev bekræftet, at tabene var begrænsede og der ville blive udbetalt kompensation.
Mens Trust Wallet hurtigt har handlet for at begrænse hændelsen, viser situationen en større udfordring for branchen.
Efterhånden som kryptowallets i stigende grad bruger browserudvidelser, bliver opdateringssikkerhed og håndtering af insider-risici centrale angrebspunkter og ikke blot sekundære bekymringer.
