Hậu quả của vụ việc liên quan đến tiện ích mở rộng Chrome của Trust Wallet đã mở rộng vào ngày 26 tháng 12. Ông Changpeng Zhao đã công khai bày tỏ quan điểm và chỉ ra khả năng có sự tham gia của các bên liên quan nội bộ.
Bình luận này được đưa ra vào thời điểm Trust Wallet thừa nhận rằng khoảng 7 triệu đô la tài sản của người dùng đã bị ảnh hưởng.
Sự tham gia của các bên liên quan nội bộ là trọng tâm của cuộc điều tra
Ông Changpeng Zhao nhấn mạnh rằng Trust Wallet sẽ bồi thường toàn bộ cho những người dùng bị ảnh hưởng, và tài sản của khách hàng là an toàn.
Mặt khác, ông cho biết cuộc điều tra vẫn đang tiếp diễn về lý do tại sao bản cập nhật tiện ích độc hại đã vượt qua quy trình quản lý phân phối, và chỉ ra khả năng nội bộ là cao nhất.
Lời phát biểu này đã làm gia tăng lo ngại về cả các cuộc tấn công từ bên ngoài lẫn truy cập nội bộ và quản trị cập nhật.
Sau đó, Trust Wallet đã nhấn mạnh thêm rằng sự việc này chỉ ảnh hưởng đến phiên bản Browser Extension 2.68, còn người dùng di động và các phiên bản khác không bị ảnh hưởng.
Công ty đang tiến hành điều chỉnh cuối cùng cho thủ tục bồi thường và cam kết sẽ cung cấp hướng dẫn rõ ràng cho người dùng liên quan.
Mặt khác, công ty kêu gọi người dùng cảnh giác với các vụ lừa đảo钓鱼 (phishing) giả mạo hỗ trợ chính thức.
Nghi ngờ liên quan nội bộ đang thu hút sự chú ý đặc biệt trong lĩnh vực an ninh tiền mã hóa. Việc cập nhật tiện ích trình duyệt yêu cầu chữ ký khóa, xác thực nhà phát triển và quy trình phê duyệt.
Nếu một bản dựng độc hại được phân phối qua Chrome Web Store chính thức, cuộc điều tra thường sẽ kiểm tra việc rò rỉ thông tin xác thực hoặc truy cập nội bộ trực tiếp.
Trong mọi trường hợp, vấn đề nằm ở sự thiếu sót về an ninh vận hành chứ không phải lỗ hổng trong phần mềm truyền thống.
Những rủi ro này không phải là lý thuyết. Trong vòng một năm qua, đã xảy ra nhiều vụ việc lớn liên quan đến tiện ích trình duyệt, nguyên nhân chủ yếu là bị chiếm quyền tài khoản nhà phát triển hoặc xâm phạm đường dẫn phát hành.
TWT token giảm mạnh tạm thời nhưng sau đó phục hồi
Thị trường phản ánh sự bất ổn. Token riêng biệt TWT của Trust Wallet đã giảm mạnh sau báo cáo đầu tiên vào ngày 25 tháng 12.
Tuy nhiên, do tổn thất bị giới hạn và việc bồi thường đã được xác nhận, giá trị đã ổn định và phục hồi vào ngày 26 tháng 12.
Trust Wallet đã nhanh chóng hành động để kiểm soát tình hình, nhưng sự việc lần này đã làm nổi bật các thách thức chung của cả ngành.
Trong bối cảnh ví tiền mã hóa ngày càng phụ thuộc vào tiện ích trình duyệt, an toàn khi cập nhật và quản lý rủi ro nội bộ không còn là vấn đề phụ mà đã trở thành khu vực mục tiêu chính của các cuộc tấn công.
