Проблеми з компенсацією Trust Wallet, виклики у визначенні справжніх постраждалих｜Виявлено 5 000 випадків шахрайських вимог

Виявлення розриву між вимогами компенсації та фактичними збитками

Самокеровані гаманці «Trust Wallet» стикаються з несподіваними викликами, які стали очевидними. За заявою генерального директора компанії Івін Чен, кількість вимог про компенсацію у зв’язку з хакерською атакою, що сталася 25 грудня через зловживання браузерним розширенням, досягла близько 5000, тоді як фактична кількість постраждалих гаманців становить лише 2596. Щодо цього розриву, Чен зазначив, що багато з заявок можуть бути фальшивими або дубльованими. Trust Wallet запроваджує новий процес суворої перевірки справжності збитків для підвищення довіри до системи компенсацій.

Загальна сума збитків унаслідок цієї безпекової інциденту оцінюється приблизно у 7 мільйонів доларів (близько 11 мільярдів ієн), і вже оголошено про політику повної компенсації для справжніх постраждалих.

Реальна картина збитків: витік активів через зловмисний код

Безпосередньою причиною інциденту стало вбудовування зловмисного коду у версію 2.68 Chrome-розширення Trust Wallet. Зловмисники скористалися цією вразливістю, щоб незаконно переказати криптовалюту користувачів. Це виявив дослідник безпеки у сфері криптовалют ZachXBT, і компанія негайно почала заходи для запобігання поширенню збитків.

Важливо зазначити, що на мобільних додатках та інших браузерних розширеннях впливу не було. Компанія терміново випустила оновлення версії 2.69 та рекомендує користувачам відключити зловмисне розширення.

Прогрес у процесі компенсації та посилення перевірок

27 грудня Trust Wallet відкрив офіційний портал підтримки для подання заявок на компенсацію постраждалим. Заявники мають надати необхідну інформацію через спеціальну форму — електронну пошту, адресу гаманця, адресу отримувача зловмисника тощо.

Засновник головної біржі, яка є материнською компанією Trust Wallet, Чанпун Чжао, у Twitter заявив, що компанія покриє всі збитки. Водночас компанія закликає бути обережними щодо фішингових схем, які використовують процеси компенсації, і просить не реагувати на пропозиції щодо компенсацій, що надходять поза офіційним сайтом підтримки.

Посилення процесу перевірки: ідентифікація справжніх постраждалих

Команда перевірки Trust Wallet наразі ретельно аналізує велику кількість заявок. За словами Ченя, для визначення справжніх постраждалих і шахраїв використовуються кілька точок даних: історія транзакцій, версія розширення, підтвердження володіння гаманцем тощо.

Компанія чітко заявила, що пріоритетом є точність перевірки, а не швидкість виплат, і навмисно регулює темпи повернення коштів, щоб запобігти шахрайству.

У рамках технічного фрілогічного розслідування виявлено сліди глибоких знань з боку зловмисників про структуру вихідного коду Trust Wallet. Розслідування внутрішнього залучення триває, але на даний момент немає остаточних доказів. Спільно з зовнішніми експертами триває комплексне розслідування.

Глибинна вразливість самокерованих гаманців

Цей інцидент показав потенційні ризики концепції самокерованих гаманців. З поширенням браузерних розширень зросла увага до можливих атак через ланцюжки поставок (supply chain), що постачають оновлення програмного забезпечення.

Декілька провайдерів гаманців зазначають, що навіть у випадку самокерованих гаманців, де користувачі керують секретними ключами, механізми розповсюдження додатків і оновлень залишаються залежними від централізованих систем. Експерти попереджають, що у таких системах може існувати єдина точка відмови, тому рекомендують використовувати відтворювані збірки, посилювати цілісність оновлень і розподіляти процеси оновлення для підвищення надійності.

Цей підхід змушує всю індустрію переосмислити безпеку самокерованих гаманців.