来源：Coindoo 原文标题：Trust Wallet Warns Users as Chrome Extension Remains Unavailable 原文链接：https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

背景

由于Google Chrome Web Store出现意外问题，更新版Trust Wallet浏览器扩展的推出被搁置，这使得协助受近期安全漏洞影响的用户变得更加困难。

据Trust Wallet的首席执行官Eowyn Chen表示，扩展目前无法使用，团队正在处理她所描述的平台端漏洞。

关键要点

• 由于Google Chrome Web Store的问题，Trust Wallet的Chrome扩展更新被推迟。
• 此次推迟的版本包括帮助黑客受害者验证钱包和提交赔偿申请的工具。
• 提交的索赔数量已超过确认受影响的钱包数量，引发了重复和欺诈的担忧。
• 提醒用户在停机期间注意假冒的Trust Wallet扩展。

当前状态

Chen解释说，延迟发布原本旨在加入专门帮助受圣诞节攻击影响的受害者验证钱包和提交赔偿申请的新功能。此次延迟使情况变得更加紧迫，因为Trust Wallet仍在处理与事件相关的索赔。

到目前为止，公司已确认有2,596个钱包地址受到黑客攻击的直接影响。然而，索赔过程面临挑战。Chen指出，已经提交了大约5,000份索赔，表明用户试图通过虚假请求获取赔偿的重复或欺诈行为较多。

在更新的扩展上线之前，Chen敦促用户保持警惕，警告在停机期间，可能会出现假冒的Trust Wallet浏览器扩展，攻击者试图利用混乱进行欺诈。

此次中断发生在圣诞节当天的漏洞事件中，攻击者从Trust Wallet用户那里窃取了超过$7 百万的资金。公司已承诺全额赔偿受影响的用户。这一事件再次引发人们对基于浏览器的加密钱包和始终在线的热钱包风险的关注。

攻击核心的供应链漏洞

在事后报告中，Trust Wallet表示，此次泄露很可能与“Sha1-Hulud”供应链漏洞有关——这是一起更广泛的行业事件，针对广泛使用的npm包，许多区块链开发者依赖这些包。报告指出，存储在Trust Wallet GitHub仓库中的敏感开发凭据在漏洞中被曝光。

此次泄露据称使攻击者能够访问Trust Wallet浏览器扩展的源代码，以及与其Chrome Web Store列表相关联的应用程序编程接口（API）密钥。利用该密钥，攻击者通过官方分发渠道上传了恶意版本的扩展。

此次攻击的性质引发了关于内部人员参与的猜测。区块链顾问公开表示，所需的访问权限水平使得此事件非常不寻常，也增加了内部人员涉案的可能性。行业观察人士也表达了类似观点，认为攻击者对Trust Wallet代码库的熟悉程度指向具有特权访问权限的人。

在Trust Wallet努力恢复其Chrome扩展并完成赔偿的同时，此事件强调了供应链漏洞和被攻破的凭据如何破坏即使是成熟的加密基础设施——也说明了为何用户在使用浏览器钱包时，反复被提醒要验证软件来源并保持警惕。