Резонанс навколо інциденту з Chrome-розширенням Trust Wallet суттєво посилився 26 грудня, коли Чанпен Чжао (CZ) оприлюднив власну позицію, вказавши на ймовірну причетність інсайдера до компрометації.
Зазначена заява пролунала після підтвердження від Trust Wallet, що станом на поточний момент близько $7 млн користувацьких активів зазнали впливу зазначеної події.
Інсайдерський доступ як ключовий напрям розслідування
CZ зазначив, що Trust Wallet забезпечить повну компенсацію постраждалим користувачам та підкреслив збереження безпеки клієнтських активів.
Водночас Чжао уточнив: фахівці все ще досліджують, яким чином скомпрометоване оновлення розширення пройшло етапи модерації та розповсюдження. Їм вдається найімовірнішим шляхом реалізації атаки саме дії інсайдера.
Оприлюднена позиція посилила занепокоєння через вразливість внутрішніх процедур доступу й політик оновлень, які відіграють не меншу роль за сторонні експлойти.
Trust Wallet підтвердила, що інцидент зачепив виключно версію розширення для браузера 2.68; користувачів мобільних застосунків і попередніх версій подія не торкнулася.
Юридична особа повідомила про завершальний етап формування механізму компенсацій з подальшим роз’ясненням порядку дій для клієнтів, яких стосується відшкодування.
Поточна ситуація вимагає підвищеної обережності користувачів щодо фішингових атак під виглядом офіційної підтримки.
Особливий акцент було зроблено на ймовірну участь інсайдера. Розширення для браузера вимагають підпису релізу за допомогою ключів розробника, валідації доступу й погодження оновлень—на цих етапах виникають критичні загрози.
Для поширення шкідливої або скомпрометованої версії через офіційний канал Chrome Web Store дослідники зазвичай розглядають компрометацію облікових даних або прямий несанкціонований внутрішній доступ.
Обидва ці сценарії не є дефектами типової розробки, а радше симптонами прогалин в операційній безпеці компаній.
Практика свідчить: за останній рік чимало інцидентів із поширенням шкідливих розширень було реалізовано саме через зламані облікові записи розробника або погано захищені випускні конвеєри.
TWT токен короткочасно знижується, але відновлюється
Реакція ринку віддзеркалила поширену невизначеність: токен Trust Wallet (TWT) зафіксував стрімке зниження курсу після перших повідомлень 25 грудня.
Вартість частково відновилася та стабілізувалася 26 грудня, коли стало відомо про обмежені масштаби втрат і рішення щодо компенсацій.
Попри оперативні дії Trust Wallet для локалізації ситуації, інцидент є проявом комплексної проблематики індустрії цифрових активів.
З огляду на зростання використання саме браузерних рішень для криптогаманців, питання захисту оновлень і керування ризиками інсайдерського характеру стають ключовими факторами безпеки, а не другорядною загрозою.
