L’estensione browser di Trust Wallet per il Google Chrome Web Store è “temporaneamente non disponibile”, ritardando il rilascio di una nuova versione che include strumenti per le vittime del recente attacco hacker, secondo quanto dichiarato dal CEO Eowyn Chen.
“Abbiamo riscontrato un bug del Chrome Web Store durante il rilascio della nuova versione”, ha scritto Chen in un post su X, aggiungendo che l’aggiornamento posticipato include una funzione per aiutare le vittime dell’hack di Natale a verificare e presentare le richieste di rimborso. Domenica ha aggiunto:
“Finora abbiamo identificato 2.596 indirizzi di wallet colpiti. Da questo gruppo abbiamo ricevuto circa 5.000 richieste di risarcimento, il che indica un numero significativo di richieste false o duplicate che tentano di accedere ai rimborsi delle vittime”.
Eowyn Chen ha inoltre invitato gli utenti a rimanere “all’erta” nei confronti di estensioni browser di Trust Wallet contraffatte presenti sul Google Chrome Web Store, fino a quando l’ultima versione ufficiale non verrà caricata.
Trust Wallet è stato compromesso il giorno di Natale, con un furto di oltre 7 milioni di dollari dai fondi degli utenti; l’azienda ha dichiarato che rimborserà integralmente le parti danneggiate. L’episodio mette in luce i rischi legati alle estensioni browser dei wallet crypto e agli hot wallet connessi a Internet.
Trust Wallet pubblica il report post mortem; CZ afferma che l'hacker potrebbe essere stato un insider
Secondo il report sull’incidente di Trust Wallet, l’attaccante avrebbe probabilmente compromesso il wallet tramite l’exploit di supply chain “Sha1-Hulud”, che ha colpito l’intero settore crypto compromettendo pacchetti software npm utilizzati dagli sviluppatori di applicazioni blockchain.
Nel corso dell’incidente Sha1-Hulud sarebbero inoltre stati esfiltrati i “segreti” di sviluppo GitHub di Trust Wallet, consentendo all’attore malevolo di accedere al codice sorgente dell’estensione browser e alla chiave API del Chrome Web Store, come indicato nel report.
Secondo il report, l'hacker ha poi usato la chiave API per caricare una versione dannosa dell'estensione browser di Trust Wallet sul Chrome Web Store.
“Questo tipo di ‘hack’ non è normale. È molto probabile che si tratti di qualcuno dall'interno”, ha dichiarato Anndy Lian, consulente intergovernativo per la blockchain, dopo l'attacco hacker.
Il cofondatore di Binance CZ ha concordato sul fatto che l'hacker fosse probabilmente qualcuno dall'interno, vista la sua familiarità con il codice di Trust Wallet.
