De nasleep van het Trust Wallet browserextensie-incident werd op 26 december heviger nadat Changpeng Zhao (CZ) zich er publiekelijk over uitsprak en aangaf dat het mogelijk om een insider ging.
Trust Wallet bevestigde rond hetzelfde moment dat tot nu toe ongeveer $7 miljoen aan gebruikersfondsen is getroffen.
SponsoredInsider toegang als belangrijkste onderzoekslijn
CZ zei dat Trust Wallet de getroffen gebruikers volledig zal vergoeden en benadrukte dat het geld van klanten veilig blijft.
Wel gaf hij aan dat onderzoekers nog altijd analyseren hoe een gecompromitteerde browserextensie-update door de distributiecontroles kon komen, waarbij hij een insider-rol “het meest waarschijnlijk” noemde.
Zijn uitspraak zorgde voor extra zorgen over interne toegang en het beheer van updates, in plaats van alleen een externe hack.
Trust Wallet bevestigde later dat alleen browserextensie versie 2.68 door het incident is getroffen, en herhaalde dat mobiele gebruikers en andere versies geen last hadden.
Sponsored SponsoredHet bedrijf werkt aan de laatste stappen voor vergoeding en zal duidelijke instructies geven aan getroffen gebruikers.
Gebruikers moeten ondertussen alert blijven voor phishing-pogingen die zich voordoen als officiële support.
De insider-kant van het verhaal krijgt vooral veel aandacht binnen de crypto-beveiligingscommunity. Voor browserextensies zijn onder andere ondertekeningssleutels, ontwikkelaarsaccounts en goedkeuringsprocedures nodig om updates te publiceren.
Als een kwaadaardige of gecompromitteerde versie wordt verspreid via de officiële Chrome Web Store, onderzoeken experts meestal of het account is gehackt of dat er directe interne toegang was.
Beide scenario’s wijzen op zwakke operationele beveiliging in plaats van alleen een klassieke softwarefout.
Dit soort risico’s is niet theoretisch. In het afgelopen jaar zijn meerdere grote incidenten met browserextensies ontstaan door overgenomen ontwikkelaarsaccounts of gecompromitteerde release-processen.
Sponsored SponsoredTWT token zakt kort maar herstelt snel
De reactie van de markt liet deze onzekerheid zien. Trust Wallet’s eigen token, TWT, kreeg een flinke verkoopgolf te verwerken na de eerste berichten op 25 december.
Op 26 december stabiliseerde de koers echter weer en trok zelfs aan nadat duidelijk werd dat de schade beperkt was en getroffen gebruikers worden gecompenseerd.
Sponsored
Ondanks dat Trust Wallet snel heeft gehandeld om het incident in te dammen, laat deze gebeurtenis zien dat de hele sector met een groter probleem kampt.
Nu crypto-wallets steeds meer afhangen van browserextensies, worden update-beveiliging en het beheersen van insider-risico’s steeds belangrijker en mogen niet als bijzaak worden gezien.
