Nguồn: Coindoo Tiêu đề gốc: Trust Wallet Cảnh Báo Người Dùng khi Tiện Ích Mở Rộng Chrome Vẫn Chưa Có Sẵn Liên kết gốc: https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

Bối cảnh

Việc triển khai tiện ích mở rộng trình duyệt Trust Wallet cập nhật đã bị hoãn lại sau một sự cố bất ngờ với Google Chrome Web Store, làm phức tạp nỗ lực hỗ trợ người dùng bị ảnh hưởng bởi vụ vi phạm bảo mật gần đây.

Theo giám đốc điều hành của Trust Wallet, Eowyn Chen, tiện ích mở rộng hiện không khả dụng trong khi nhóm làm việc xử lý lỗi mà cô mô tả là lỗi phía nền tảng.

Những điểm chính

• Cập nhật tiện ích mở rộng Chrome của Trust Wallet bị trì hoãn do sự cố với Google Chrome Web Store.
• Việc phát hành hoãn lại bao gồm các công cụ giúp nạn nhân bị hack xác minh ví và gửi yêu cầu hoàn trả.
• Nhiều yêu cầu đã được gửi đi hơn số ví bị ảnh hưởng đã được xác nhận, gây lo ngại về trùng lặp và gian lận.
• Người dùng được cảnh báo cảnh giác với các tiện ích mở rộng Trust Wallet giả trong thời gian downtime.

Tình trạng hiện tại

Chen giải thích rằng việc phát hành chậm trễ này nhằm mục đích bổ sung chức năng mới đặc biệt dành cho những nạn nhân của vụ tấn công ngày Giáng sinh để xác minh ví và gửi yêu cầu hoàn trả. Sự chậm trễ đã làm tăng tính cấp bách của tình hình, khi Trust Wallet tiếp tục xử lý các yêu cầu liên quan đến vụ việc.

Cho đến nay, công ty đã xác định được 2.596 địa chỉ ví bị ảnh hưởng trực tiếp bởi vụ hack. Tuy nhiên, quá trình xử lý yêu cầu đã gặp nhiều khó khăn. Chen lưu ý rằng khoảng 5.000 yêu cầu đã được gửi, cho thấy có số lượng lớn yêu cầu trùng lặp hoặc giả mạo từ người dùng cố gắng gian lận để nhận bồi thường.

Cho đến khi tiện ích mở rộng cập nhật chính thức hoạt động, Chen kêu gọi người dùng cẩn trọng, cảnh báo rằng các tiện ích mở rộng Trust Wallet giả có thể xuất hiện trên Chrome Web Store khi kẻ tấn công cố gắng lợi dụng sự nhầm lẫn trong thời gian downtime.

Sự gián đoạn này xảy ra sau vụ vi phạm ngày Giáng sinh, trong đó kẻ tấn công đã rút hơn $7 triệu đô la từ người dùng Trust Wallet. Công ty đã cam kết hoàn trả đầy đủ cho những người bị ảnh hưởng. Vụ việc một lần nữa nhấn mạnh các rủi ro liên quan đến ví tiền điện tử dựa trên trình duyệt và ví nóng luôn trực tuyến.

Lỗ hổng chuỗi cung ứng nằm trung tâm của vụ tấn công

Trong báo cáo hậu sự cố, Trust Wallet cho biết sự xâm nhập có khả năng liên quan đến lỗ hổng chuỗi cung ứng “Sha1-Hulud” — một sự cố trong ngành rộng hơn nhắm vào các gói npm phổ biến được các nhà phát triển blockchain sử dụng rộng rãi. Theo báo cáo, các thông tin đăng nhập phát triển nhạy cảm được lưu trữ trên kho GitHub của Trust Wallet đã bị lộ trong quá trình khai thác.

Lỗ hổng này được cho là đã giúp kẻ tấn công truy cập vào mã nguồn của tiện ích mở rộng trình duyệt Trust Wallet, cùng với một khóa API liên kết với danh sách trên Chrome Web Store. Sử dụng khóa đó, kẻ tấn công đã có thể tải lên một phiên bản độc hại của tiện ích mở rộng qua kênh phân phối chính thức.

Bản chất của vụ tấn công đã làm dấy lên suy đoán về sự tham gia của nội bộ. Các cố vấn blockchain công khai nói rằng mức độ truy cập cần thiết khiến vụ việc trở nên đặc biệt bất thường và làm tăng khả năng có một nhân tố nội bộ. Đánh giá này cũng được các nhà quan sát trong ngành đồng tình, cho rằng sự quen thuộc của kẻ tấn công với mã nguồn của Trust Wallet cho thấy có thể là một người có quyền truy cập đặc biệt.

Trong khi Trust Wallet cố gắng khôi phục tiện ích mở rộng Chrome và hoàn tất các khoản bồi thường, vụ việc này nhấn mạnh cách các lỗ hổng chuỗi cung ứng và thông tin đăng nhập bị xâm phạm có thể làm suy yếu hạ tầng crypto đã được thiết lập — và lý do tại sao người dùng liên tục được khuyên xác minh nguồn phần mềm và cẩn trọng khi sử dụng ví dựa trên trình duyệt.