Trust Wallet 推出新版瀏覽器擴展，增強安全控制

來源：Coindoo 原文標題：Trust Wallet Brings Back Browser Extension With New Security Controls 原文連結：https://coindoo.com/trust-wallet-brings-back-browser-extension-with-new-security-controls/

Trust Wallet 已將其 Chrome 瀏覽器擴展重新上線，經歷數週的中斷，這次中斷與一場高度協調的供應鏈攻擊有關，標誌著其從今年最具破壞性的錢包漏洞之一中恢復的重要一步。

此次恢復的版本不僅旨在恢復正常使用，還旨在解決駭客攻擊後出現的一個問題：將真正的受害者與大量的欺詐性賠償申請區分開來。

主要重點

• Trust Wallet 的 Chrome 擴展在一場與約 850 萬美元損失相關的供應鏈漏洞後重新上線。
• 新版本加入了擴展內驗證功能，以確認錢包所有權以進行賠償。
• 此次攻擊源於被入侵的瀏覽器擴展，而非手機應用程式。
• 大量的虛假或重複申請迫使平台採取更嚴格的驗證措施。

新發布的版本 2.71.0 引入了擴展內驗證碼系統，允許 Trust Wallet 的支援團隊直接確認錢包所有權。公司表示，這個功能對於在收到遠超受害者數量的申請後重新啟動賠償流程至關重要。

Eowyn Chen 表示，擴展短暫從 Chrome Web Store 消失是由於在推出更新時遇到的平台端問題。Google 承認了這個問題並在內部升級處理，使擴展得以恢復。Chen 也提醒用戶保持警覺，警告在高調事件後經常會出現假冒或惡意的類似擴展。

聖誕攻擊的月前準備

這起事件可以追溯到平安夜，當時攻擊者悄悄分發了被篡改的 Trust Wallet 瀏覽器擴展版本 2.68。在大約 48 小時內，安裝或更新到被篡改版本的用戶在多個區塊鏈網絡上看到資金被轉移，總損失估計接近 850 萬美元。

Trust Wallet 後來確認，約有 2,500 多個錢包地址受到影響。調查人員相信這次攻擊與 11 月的 Sha1-Hulud 供應鏈漏洞有關，該漏洞針對 npm 軟體生態系統，影響數千個加密相關的存儲庫。安全研究人員指出，攻擊者早在 12 月 8 日就已經準備好基礎設施，提前部署系統。

一旦漏洞被發現，白帽研究人員試圖用拒絕服務攻擊來干擾攻擊者的伺服器，幫助限制進一步的損失。Trust Wallet 緊急推出了替代版本，但由於另一個漏洞，完整恢復直到現在才得以完成。

賠償面臨第二次威脅

儘管 Trust Wallet 強調只有瀏覽器擴展受到影響——其手機應用仍然安全——但事後的情況帶來了新的挑戰。儘管確認受影響的錢包不到 2,600 個，公司仍收到了超過 5,000 份賠償申請。

Trust Wallet 由一家主要交易所擁有，但獨立運營，確認所有經過驗證的受害者都將獲得賠償。然而，Chen 承認，重複和欺詐申請迫使平台收緊驗證流程。

版本 2.71.0 中嵌入的驗證碼功能旨在解決這一瓶頸，通過將申請直接與受影響的錢包綁定，降低虛假支付的風險。

除了立即的恢復外，這次事件凸顯了加密貨幣用戶面臨的更廣泛問題：瀏覽器擴展仍然是一個高風險的表面，尤其當攻擊者利用開發者依賴的軟體供應鏈時。對於 Trust Wallet 來說，恢復擴展只是第一步——在供應鏈漏洞後重建用戶信任可能還需要更長的時間。