Fonte: Coindoo Título Original: Trust Wallet Warns Users as Chrome Extension Remains Unavailable Link Original: https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

Contexto

A implementação de uma extensão de navegador atualizada do Trust Wallet foi suspensa após um problema inesperado na Google Chrome Web Store, dificultando os esforços para ajudar os utilizadores afetados por uma recente brecha de segurança.

De acordo com a CEO do Trust Wallet, Eowyn Chen, a extensão encontra-se atualmente indisponível enquanto a equipa trabalha numa correção de um bug que ela descreveu como sendo do lado da plataforma.

Principais Pontos

• A atualização da extensão do Trust Wallet para Chrome está atrasada devido a um problema na Google Chrome Web Store.
• O lançamento adiado inclui ferramentas para vítimas de hacking verificarem carteiras e submeterem pedidos de reembolso.
• Mais pedidos de reembolso foram submetidos do que carteiras afetadas confirmadas, levantando preocupações sobre duplicados e fraudes.
• Os utilizadores são alertados para ficarem atentos a extensões falsas do Trust Wallet durante o período de indisponibilidade.

Estado Atual

Chen explicou que o atraso na versão foi pensado para incluir novas funcionalidades especificamente desenhadas para ajudar as vítimas do ataque do Dia de Natal a verificarem as suas carteiras e a submeterem pedidos de reembolso. O atraso aumentou a urgência da situação, uma vez que o Trust Wallet continua a processar pedidos relacionados com o incidente.

Até ao momento, a empresa identificou 2.596 endereços de carteiras que foram diretamente afetados pelo hack. No entanto, o processo de pedidos revelou-se desafiante. Chen observou que aproximadamente 5.000 pedidos já foram submetidos, sugerindo um volume elevado de pedidos duplicados ou falsos por parte de utilizadores que tentam aceder a compensações de forma fraudulenta.

Até que a extensão atualizada esteja disponível, Chen pediu aos utilizadores que tenham cautela, alertando que extensões falsas do Trust Wallet podem surgir na Chrome Web Store enquanto os atacantes tentam explorar a confusão durante o período de indisponibilidade.

A interrupção segue-se a uma brecha ocorrida no Dia de Natal, na qual os atacantes drenaram mais de $7 milhões de dólares de utilizadores do Trust Wallet. A empresa comprometeu-se desde então a reembolsar totalmente os utilizadores afetados. O incidente voltou a chamar a atenção para os riscos associados às carteiras de criptomoedas baseadas em navegador e às hot wallets sempre online.

Exploração na Cadeia de Suprimentos no Centro do Ataque

Num relatório de análise pós-incidente, o Trust Wallet afirmou que a violação provavelmente esteve relacionada com a exploração da cadeia de suprimentos “Sha1-Hulud” — um incidente mais amplo na indústria que visou pacotes npm amplamente utilizados por desenvolvedores de blockchain. Segundo o relatório, credenciais sensíveis de desenvolvimento armazenadas no repositório GitHub do Trust Wallet foram expostas durante a exploração.

Esta violação supostamente deu ao atacante acesso ao código fonte da extensão do Trust Wallet para navegador, juntamente com uma chave de API de programação de aplicações ligada à sua listagem na Chrome Web Store. Com essa chave, o atacante conseguiu fazer upload de uma versão maliciosa da extensão através de um canal de distribuição oficial.

A natureza do ataque alimentou especulações sobre envolvimento interno. Consultores de blockchain afirmaram publicamente que o nível de acesso necessário tornou o incidente altamente incomum e aumentou a probabilidade de um ator interno. Essa avaliação foi corroborada por observadores da indústria, que sugeriram que o conhecimento do atacante sobre a base de código do Trust Wallet indicava alguém com acesso privilegiado.

Enquanto o Trust Wallet trabalha para restaurar a sua extensão para Chrome e completar os reembolsos, o episódio destaca como vulnerabilidades na cadeia de suprimentos e credenciais comprometidas podem minar infraestruturas de criptomoedas já estabelecidas — e por que os utilizadores são reiteradamente aconselhados a verificar as fontes do software e a manter cautela ao usar carteiras baseadas em navegador.