Trust Walletin Chrome-laajennuksen tapauksen seuraukset kärjistyivät 26. joulukuuta, kun Changpeng Zhao (CZ) otti kantaa julkisesti ja vihjasi, että tietomurtoon on todennäköisesti liittynyt sisäpiiriläinen.
Trust Wallet vahvisti kommentissaan, että noin 7 miljoonaa dollaria käyttäjien varoja on tähän mennessä vaarantunut.
Sisäpiirin pääsy keskeisenä tutkintalinjana
CZ totesi, että Trust Wallet hyvittää täysin vahingoittuneille käyttäjille ja painotti, että asiakkaiden varat ovat turvassa.
Kuitenkin hän lisäsi, että tutkinnat jatkuvat yhä siitä, miten vaarallinen selainlaajennuksen päivitys onnistui ohittamaan jakelun valvonnan, pitäen sisäpiiriläisen roolia “todennäköisimpänä”.
Tämä lausunto lisäsi huolta sisäisestä pääsystä ja päivitysten hallinnasta, pelkän ulkopuolisen hyökkäyksen sijaan.
Trust Wallet vahvisti myöhemmin tapauksen koskeneen vain selainlaajennuksen versiota 2,68 ja toisti, että mobiilikäyttäjät ja muut versiot eivät joutuneet vaikutuksen kohteeksi.
Yritys ilmoitti viimeistelevänsä hyvitysprosessin ja antavansa selkeät ohjeet niille käyttäjille, joita tapaus koskee.
Käyttäjiä kehotetaan sillä välin varovaisuuteen kalasteluyrityksiä kohtaan, jotka esiintyvät virallisena tukena.
Sisäpiiriläisnäkökulma on kiinnittänyt erityistä huomiota kryptoturvallisuusyhteisössä. Selainlaajennukset edellyttävät allekirjoitusavaimia, kehittäjätunnisteita ja hyväksyntäprosesseja päivitysten julkaisemiseen.
Mikäli virheellinen tai vaarallinen julkaisu päätyy viralliseen Chrome Web Storeen, tutkinta kohdistuu yleensä joko käyttäjätunnusten vaarantumiseen tai suoraan sisäiseen pääsyyn.
Kummassakin tapauksessa kyse on operatiivisen turvallisuuden heikkouksista eikä niinkään perinteisestä ohjelmistohaavoittuvuudesta.
Nämä riskit eivät ole teoreettisia. Viime vuoden aikana useat korkeaprofiiliset selainlaajennus-tapaukset ovat saaneet alkunsa kaapatuista kehittäjätilistä tai vaarantuneista julkaisuprosesseista.
TWT token notkahtaa lyhyesti ennen palautusta
Markkinoiden reaktiot kuvastivat epävarmuutta. Trust Walletin natiivi token, TWT, joutui voimakkaan myyntiaallon kohteeksi ensimmäisten raporttien jälkeen 25. joulukuuta.
Kuitenkin hinta vakautui ja palautui 26. joulukuuta, kun vahvistettiin, että tappiot olivat rajallisia ja hyvityksiä tullaan maksamaan.
Vaikka Trust Wallet on toiminut nopeasti hallitakseen tilannetta, tapahtuma kuvastaa laajempaa alan haastetta.
Koska kryptolompakot nojautuvat yhä enemmän selainlaajennuksiin, päivitysten turvallisuus ja sisäpiiriläisriskien hallinta nousevat keskeisiksi hyökkäyspisteiksi, eivät enää toissijaisiksi huoliksi.
