Die Folgen des Vorfalls mit Trust Wallets Chrome-Erweiterung wurden am 26. Dezember stärker, nachdem Changpeng Zhao (CZ) öffentlich vermutete, dass ein Insider in den Vorfall verwickelt gewesen sein könnte.
Trust Wallet bestätigte, dass bisher ungefähr sieben Mio. USD an Nutzergeldern betroffen sind.
SponsoredInsider-Zugang rückt in den Fokus der Ermittlungen
CZ erklärte, dass Trust Wallet alle betroffenen Nutzer vollständig entschädigen wird. Er betonte zudem, dass Kundengelder weiterhin sicher sind.
Allerdings sagte er auch, dass Ermittler noch prüfen, wie ein manipuliertes Update für die Browser-Erweiterung die Verteilkontrollen passieren konnte. Ein Insider sei „am wahrscheinlichsten“.
Diese Aussage verstärkte die Sorgen rund um interne Zugriffsrechte und die Kontrolle von Updates statt um einen alleinigen externen Angriff.
Trust Wallet stellte später klar, dass nur Browser-Erweiterung Version 2.68 betroffen war. Mobile Nutzer und andere Versionen waren nicht betroffen.
Sponsored SponsoredTrust Wallet arbeitet derzeit daran, das Erstattungsverfahren abzuschließen und wird klare Hinweise an die geschädigten Nutzer geben.
In der Zwischenzeit sollten Nutzer vorsichtig vor Phishing-Angriffen sein, die sich als offizieller Support ausgeben.
Der mögliche Insider-Fall sorgt besonders in der Krypto-Sicherheits-Community für Aufmerksamkeit. Browser-Erweiterungen benötigen Signaturschlüssel, Entwickler-Zugangsdaten und Freigabeprozesse, um Updates zu veröffentlichen.
Sponsored SponsoredDamit eine schädliche oder manipulierte Version über den offiziellen Chrome Web Store verteilt werden kann, suchen Ermittler meist nach gestohlenen Zugangsdaten oder direktem internem Zugriff.
Beide Möglichkeiten weisen auf Schwächen in der Betriebssicherheit hin, nicht auf einen typischen Software-Fehler.
Solche Risiken sind nicht nur in der Theorie vorhanden. In den letzten zwölf Monaten gab es mehrere Vorfälle mit Browser-Erweiterungen, die durch gehackte Entwickler-Konten oder kompromittierte Freigabeprozesse entstanden sind.
SponsoredTWT-Token fällt kurzzeitig – schnelle Erholung folgt
Die Reaktion am Markt zeigte Unsicherheit. Trust Wallets eigener Token TWT wurde nach den ersten Meldungen am 25. Dezember schnell verkauft.
Allerdings stabilisierte sich der Kurs und stieg am 26. Dezember wieder, nachdem bestätigt wurde, dass die Verluste begrenzt sind und eine Erstattung erfolgt.
Obwohl Trust Wallet schnell gehandelt hat, zeigt der Vorfall ein größeres Problem in der Branche.
Da immer mehr Krypto-Wallets auf Browser-Erweiterungen setzen, werden Updatesicherheit und das Management von Insider-Risiken zentrale Angriffspunkte, die man nicht unterschätzen sollte.
