افزونه Trust Wallet موقتاً از فروشگاه مرورگر کروم حذف شد

مدیرعامل تراست والت (Trust Wallet) اعلام کرد افزونه مرورگر این کیف پول در فروشگاه کروم گوگل به‌طور موقت از دسترس خارج شده و انتشار نسخه جدید آن به دلیل بروز یک باگ در Chrome Web Store با تأخیر مواجه شده است.

ایوین چن (Eowyn Chen) مدیرعامل تراست والت در پیامی در شبکه اجتماعی ایکس توضیح داد که این اختلال در زمانی رخ داده که تیم توسعه در حال انتشار نسخه جدید افزونه بوده است. به گفته او نسخه جدید شامل قابلیتی مهم برای کمک به قربانیان هک روز کریسمس است تا بتوانند درخواست‌های جبران خسارت خود را ثبت و تأیید کنند.

چن اعلام کرد تاکنون ۲,۵۹۶ آدرس کیف پول که در این حمله آسیب دیده‌اند شناسایی شده‌اند. با این حال حدود ۵,۰۰۰ درخواست جبران خسارت دریافت شده که نشان‌دهنده وجود تعداد قابل‌توجهی درخواست تکراری یا نادرست با هدف دسترسی غیرمجاز به وجوه جبرانی است. او تأکید کرد که تیم تراست والت در حال بررسی دقیق این درخواست‌هاست تا فقط کاربران آسیب‌دیده واقعی مشمول بازپرداخت شوند.

مدیرعامل تراست والت همچنین به کاربران هشدار داد تا زمان بازگشت نسخه رسمی افزونه به فروشگاه کروم نسبت به افزونه‌های جعلی با نام Trust Wallet هوشیار باشند. به گفته او برخی سودجویان ممکن است از این فرصت برای انتشار نسخه‌های تقلبی استفاده کنند و کاربران باید تنها از منابع رسمی استفاده کنند.

×

این اختلال در ادامه حمله سایبری بزرگی رخ داده که در روز کریسمس منجر به سرقت بیش از ۷ میلیون دلار از دارایی کاربران تراست والت شد. این شرکت پیش‌تر اعلام کرده بود که خسارت کاربران آسیب‌دیده را جبران خواهد کرد. این رویداد بار دیگر ریسک‌های مرتبط با کیف پول‌های گرم و افزونه‌های مرورگری متصل به اینترنت را برجسته کرده است.

بر اساس گزارش پس از حادثه تراست والت این حمله از طریق بهره‌برداری از یک نقص زنجیره تأمین موسوم به Sha1-Hulud انجام شده است. در این حمله بسته‌های نرم‌افزاری npm که توسط توسعه‌دهندگان برنامه‌های بلاکچینی استفاده می‌شوند آلوده شده‌اند. در نتیجه اطلاعات محرمانه مخزن گیت‌هاب تراست والت از جمله کد منبع افزونه مرورگر و کلید API مربوط به فروشگاه کروم افشا شده است.

گزارش تراست والت نشان می‌دهد مهاجم با استفاده از این کلید API نسخه‌ای مخرب از افزونه مرورگر را در Chrome Web Store بارگذاری کرده است. برخی تحلیلگران از جمله اندی لیان (Anndy Lian) مشاور بین‌دولتی حوزه بلاکچین و همچنین چانگ‌پنگ ژائو (Changpeng Zhao) هم‌بنیان‌گذار بایننس احتمال داده‌اند که عامل این حمله فردی آشنا با ساختار داخلی کد تراست والت بوده باشد.