تصاعدت تداعيات حادثة إضافة كروم في Trust Wallet في 26 ديسمبر بعد أن أبدى تشانغبينغ تشاو (CZ) رأيه علنا، مشيرة إلى أن الخرق قد يكون تورطا لشخص داخلي.
جاء هذا التعليق في الوقت الذي أكدت فيه Trust Wallet أن حوالي 7 ملايين دولار من أموال المستخدمين قد تأثرت حتى الآن.
الوصول الداخلي كخط رئيسي للتحقيق
قال CZ إن Trust Wallet ستعوض المستخدمين المتضررين بالكامل وأكدت على أن أموال العملاء تبقى آمنة.
ومع ذلك، أضاف أن المحققين لا يزالون يفحصون كيف تمكن تحديث إضافة متصفح مخترق من المرور عبر ضوابط التوزيع، واصفا دور الداخل بأنه "على الأرجح."
وقد عزز البيان المخاوف المتعلقة بالوصول الداخلي وحوكمة التحديثات، وليس مجرد استغلال خارجي.
أكدت Trust Wallet لاحقا أن الحادثة أثرت فقط على إصدار 2.68 من إضافة المتصفح فقط، مؤكدة أن مستخدمي الهواتف المحمولة والإصدارات الأخرى لم يتأثروا.
قالت الشركة إنها تنهي إجراءات التعويض وستصدر تعليمات واضحة للمستخدمين المتضررين.
وفي الوقت نفسه، يجب على المستخدمين أن يظلوا حذرين من محاولات التصيد التي تتظاهر بأنها دعم رسمي.
لقد جذب الجانب الداخلي اهتماما خاصا في مجتمع أمن العملات الرقمية. تتطلب إضافات المتصفح مفاتيح توقيع، بيانات اعتماد المطورين، وسير عمل الموافقة لنشر التحديثات.
بالنسبة لإصدار خبيث أو مخترق يتم توزيعه عبر متجر Chrome الرسمي على الويب، عادة ما ينظر المحققون إما إلى اختراق بيانات الاعتماد أو الوصول الداخلي المباشر.
يشير كلا السيناريوهين إلى نقاط ضعف في الأمن التشغيلي بدلا من ثغرة برمجية تقليدية.
هذه المخاطر ليست نظرية. خلال العام الماضي، نشأت عدة حوادث بارزة في امتدادات المتصفح بسبب اختطاف حسابات المطورين أو اختراق خطوط الإصدارات.
رمز TWT ينخفض لفترة وجيزة قبل أن يرتد
عكس رد فعل السوق حالة عدم اليقين. شهد رمز Trust Wallet الأصلي، TWT، صفعا حادا بعد التقارير الأولية في 25 ديسمبر.
ومع ذلك، استقرت الأسعار وارتفعت في 26 ديسمبر بعد تأكيد أن الخسائر محدودة وسيتم إصدار استردادات.
بينما تحركت Trust Wallet بسرعة لاحتواء الحادث، تعكس الحادثة تحديا أوسع في الصناعة.
مع اعتماد محافظ العملات الرقمية بشكل متزايد على إضافات المتصفحات، تظهر أمان التحديثات وإدارة المخاطر الداخلية كمناطق هجوم حرجة، وليس كاعتبارات ثانوية.
