Trust Wallet 已為因最近版本的 Chrome 瀏覽器擴充功能遭植入惡意程式而蒙受損失的用戶,啟動正式的賠償程序,這被視為該公司迄今最重要的安全應對行動之一。
該錢包服務商表示,受影響的用戶現可透過官方入口提交索償申請,需提供基本身份資料,以及被盜錢包地址、攻擊者地址和相關交易雜湊值。
Trust Wallet 表示將承擔所有經核實的損失,並強調每宗申請都會經過詳細審查,以防止進一步風險。
公司確認,大約 700 萬美元的數碼資產在多條區塊鏈上被抽走,包括 Bitcoin、Ether 和 Solana。
區塊鏈安全公司 PeckShield 報告指,超過 400 萬美元已經被轉入 ChangeNOW、FixedFloat 和 KuCoin 等中心化交易所,而截至周四,仍有近 300 萬美元留在攻擊者控制的錢包中。
Binance 創辦人、於 2018 年收購 Trust Wallet 的 趙長鵬(Changpeng Zhao) 指出,相關損失會獲得全數填補。他在 X 上寫道:「TrustWallet 會承擔」,並補充指用戶資金「are SAFU」。
延伸閱讀:Why JPMorgan Is Cutting Off Stablecoin Neobanks In Latin America Despite Crypto-Friendly Messaging
漏洞是如何發生的
該問題於聖誕節當日浮面,鏈上分析師 ZachXBT 當時警告,用戶在更新至 12 月 24 日版本的擴充功能後,紛紛回報資金突然被轉走。
Trust Wallet 於 12 月 25 日發布修補版本。
根據行政總裁 Eowyn Chen 的說法,今次攻擊源於一把外洩的 Chrome Web Store API 金鑰,駭客得以繞過公司內部發布流水線,將惡意版本的擴充功能上架。
安全研究團隊 SlowMist 慢霧發現,該惡意版本透過被修改的數據分析函式庫竊取助記詞。
Trust Wallet 表示,凡在 12 月 26 日世界協調時間(UTC)上午 11 時前使用過受感染擴充功能的用戶,都有可能已遭暴露。
影響範圍及涉及用戶
今次事件只影響 Chrome 擴充功能 2.68 版;手機應用程式用戶及使用其他版本擴充功能的用戶並未受及。
根據其在 Chrome Web Store 的頁面,Trust Wallet 擴充功能的用戶約有一百萬人。
下一篇閱讀:Bitcoin Breaks Downtrend, Rare Market Signals Hint At Multi-Week Rally