Le conseguenze dell’incidente della Chrome extension di Trust Wallet si sono intensificate il 26 dicembre dopo l’intervento pubblico di Changpeng Zhao (CZ), che ha suggerito che la violazione possa aver coinvolto una persona interna.
Il commento è arrivato mentre Trust Wallet ha confermato che fino ad ora sono stati colpiti circa 7 milioni di dollari di fondi degli utenti.
SponsoredL’accesso degli insider come linea chiave di indagine
CZ ha dichiarato che Trust Wallet rimborserà completamente gli utenti colpiti e ha sottolineato che i fondi dei clienti restano al sicuro.
Ha aggiunto, però, che gli investigatori stanno ancora analizzando come un aggiornamento compromesso della Chrome extension sia riuscito a superare i controlli di distribuzione, definendo “più probabile” un coinvolgimento interno.
Questa dichiarazione ha aumentato le preoccupazioni riguardo l’accesso interno e la governance degli aggiornamenti, piuttosto che un semplice attacco esterno.
Successivamente Trust Wallet ha confermato che l’incidente ha interessato solo la versione 2.68 della browser extension, ribadendo che utenti mobile e altre versioni non sono state impattate.
Sponsored SponsoredL’azienda ha dichiarato di essere in fase di finalizzazione delle procedure di rimborso e che fornirà istruzioni chiare agli utenti coinvolti.
Nel frattempo, gli utenti devono restare cauti contro i tentativi di phishing che si spacciano per supporto ufficiale.
L’ipotesi di un coinvolgimento interno ha attirato particolare attenzione nella community della sicurezza crypto. Le browser extension richiedono chiavi di firma, credenziali degli sviluppatori e flussi di approvazione per la pubblicazione degli aggiornamenti.
Sponsored SponsoredAffinché una versione malevola o compromessa venga distribuita tramite il Chrome Web Store ufficiale, gli investigatori solitamente valutano sia una compromissione delle credenziali sia un accesso interno diretto.
Entrambi gli scenari evidenziano debolezze nella sicurezza operativa, invece di una vulnerabilità tradizionale del software.
Questi rischi non sono teorici. Nell’ultimo anno, diversi casi di browser extension ad alto profilo hanno avuto origine da account sviluppatore violati o pipeline di rilascio compromesse.
SponsoredIl token TWT registra un lieve calo prima di rimbalzare
La reazione del mercato ha riflesso l’incertezza. Il token nativo di Trust Wallet, TWT, ha subito un forte sell-off dopo le prime notizie del 25 dicembre.
Successivamente, i prezzi si sono stabilizzati e hanno rimbalzato il 26 dicembre, dopo la conferma che le perdite erano limitate e che i rimborsi sarebbero stati effettuati.
Se da un lato Trust Wallet si è mossa rapidamente per contenere l’incidente, l’episodio riflette una sfida più ampia per il settore.
Poiché i wallet crypto si affidano sempre di più alle browser extension, la sicurezza degli aggiornamenti e la gestione del rischio interno stanno emergendo come superfici di attacco fondamentali, non preoccupazioni secondarie.
