來源：Coindoo 原標題：Trust Wallet Warns Users as Chrome Extension Remains Unavailable 原連結：https://coindoo.com/trust-wallet-warns-users-as-chrome-extension-remains-unavailable/

背景

由於 Google Chrome Web Store 出現意外問題，導致更新版 Trust Wallet 瀏覽器擴展暫停推出，這使得協助受近期安全漏洞影響的用戶變得更加困難。

根據 Trust Wallet 的執行長 Eowyn Chen 的說法，該擴展目前無法使用，團隊正在處理她所描述的平台端錯誤。

主要重點

• 由於 Google Chrome Web Store 問題，Trust Wallet 的 Chrome 擴展更新延遲。
• 此次推遲的版本包含幫助駭客受害者驗證錢包和提交賠償申請的工具。
• 已提交的申請數量超過確認受影響的錢包數，引發重複和詐騙的擔憂。
• 提醒用戶在停擺期間注意假冒的 Trust Wallet 擴展。

當前狀況

Chen 解釋說，延遲的版本原本旨在加入專為幫助受聖誕節攻擊事件的受害者驗證錢包和提交賠償申請的新功能。這次延遲使情況更加緊迫，因為 Trust Wallet 仍在處理與事件相關的申請。

截至目前，該公司已識別出 2,596 個直接受到駭客攻擊的錢包地址。然而，申請流程證明具有挑戰性。Chen 指出，已經提交約 5,000 份申請，顯示有大量重複或虛假請求，試圖詐取賠償。

在更新的擴展正式推出之前，Chen 呼籲用戶保持警覺，警告在停擺期間，可能會出現假冒的 Trust Wallet 瀏覽器擴展，攻擊者可能利用混亂來進行詐騙。

這次中斷事件發生在聖誕節當天的攻擊中，攻擊者從 Trust Wallet 用戶那裡竊取了超過 $7 百萬的資金。公司已承諾全額賠償受影響的用戶。這起事件再次引起人們對基於瀏覽器的加密貨幣錢包和全天候熱錢包的風險的關注。

攻擊核心的供應鏈漏洞

在事後分析報告中，Trust Wallet 表示，此次攻擊可能與「Sha1-Hulud」供應鏈漏洞有關——這是一個更廣泛的行業事件，針對廣泛使用於區塊鏈開發者的 npm 套件。根據報告，存放在 Trust Wallet GitHub 儲存庫中的敏感開發憑證在漏洞期間被曝光。

此漏洞據稱讓攻擊者得以存取 Trust Wallet 瀏覽器擴展的原始碼，以及與其 Chrome Web Store 列表相關聯的應用程式介面金鑰。利用該金鑰，攻擊者能夠通過官方分發渠道上傳惡意版本的擴展。

這次攻擊的性質引發了內部人員涉入的猜測。區塊鏈顧問公開表示，所需的存取權限使得此事件非常不尋常，也提高了內部人員涉案的可能性。行業觀察人士也表示，攻擊者對 Trust Wallet 代碼庫的熟悉程度暗示著具有特權存取權的人員參與其中。

在 Trust Wallet 努力恢復 Chrome 擴展並完成賠償的同時，這一事件凸顯了供應鏈漏洞和被破壞的憑證如何破壞甚至是成熟的加密基礎設施——也再次提醒用戶在使用瀏覽器錢包時，務必核實軟體來源並保持警覺。