deBridgein ja Trust Walletin ongelmat
deBridgein perustaja Alex Smirnov kehotti validoijia keskeyttämään tapahtumat, kunnes asianomaisten käyttäjien korjaussuunnitelma on laadittu. Erityisesti Trust Wallet vahvisti, että sen Chrome-laajennukseen upotettu haitallinen koodi johti noin 7 miljoonan dollarin varastettuihin varoihin useilla lohkoketjuilla, mikä sai lompakkopalveluntarjoajan käynnistämään virallisen korvausprosessin.
Hyökkäys ja sen seuraukset
Binancein perustaja Changpeng Zhao ilmoitti, että kaikki kärsityt tappiot korvataan. Smirnov kehotti julkisesti Flow-lohkoketjun validoijia keskeyttämään tapahtumien käsittelyn, kunnes selkeä korjaussuunnitelma on laadittu verkon kiistanalaisen palautusehdotuksen vuoksi. Kehotus esitettiin 27. joulukuuta tapahtuneen 3,9 miljoonan dollarin hyökkäyksen jälkeen, jolloin hyökkääjä käytti hyväkseen Flow’n suorituskerroksen haavoittuvuutta ja siirsi varoja verkosta useiden lohkoketjujen siltojen kautta.
”Palautussuunnitelma esiteltiin hätätoimenpiteenä hyökkäyksen jälkeen, mutta se herätti laajaa huolta Flow-ekosysteemissä.”
Smirnov varoitti, että palautus aiheutti hämmennystä käyttäjien saldoissa, erityisesti niille, jotka siirsivät varoja Flow’sta kyseisen aikarajan aikana ja kohtaavat nyt mahdollisuuden kaksinkertaisista tai vääristä saldoista. Yhtenä Flow’n pääsilloista deBridge altistui suoraan näille epäjohdonmukaisuuksille, mikä johti Smirnovin kutsuun parempaan läpinäkyvyyteen ja koordinointiin Flow-säätiöltä.
Markkinareaktio ja kriitikot
Huolimatta vetoomuksesta Flow’n validoijat eivät ole vielä pystyneet reagoimaan. Lohkoketjudata osoittaa, että Flow on pysähtynyt lohkokorkeudessa 137,385,824 myöhään lauantai-iltana, vaikka Flow-säätiö ilmoitti, että verkon odotettiin käynnistyvän neljän tai kuuden tunnin sisällä. Tähän mennessä markkinareaktio on ollut voimakas: FLOW-token on pudonnut noin 42 % hyökkäyksen jälkeen CoinCodexin tietojen mukaan.
Kiista monimutkaistui edelleen ekosysteemin sidosryhmien sekavasta viestinnästä. Lokakuussa Dapper Labs—Flow’n luoja—sanoi, että tarkistettu elvytyssuunnitelma poistaisi kokonaan palautuksen tarpeen, säilyttäen laillisen käyttäjätoiminnan samalla kun verkon toiminnot palautetaan. Kuitenkin kriitikot väittävät, että luottamuksen vahingoittaminen oli jo tapahtunut.
”Palautuspäätös oli kiireinen ja ekosysteemin kumppaneita ei ollut asianmukaisesti tiedotettu.”
Gabriel Shapiro, Delphi Labsin pääoikeusneuvonantaja, kritisoi Flow’n lähestymistapaa ehdottamalla, että se käytännössä luo vakuudettomia varoja ja siirtää lieventämisen taakan silloille ja liikkeeseenlaskijoille. Vaikka Dapper Labs on väittänyt, että mikään käyttäjäsaldo—mukaan lukien sen oma kassa—ei ollut vaikuttanut, skeptisyys pysyy.
Trust Walletin tilanne
Trust Wallet ilmoitti käynnistävänsä virallisen korvausprosessin käyttäjille, joita vaikutti äskettäinen tietoturvatapahtuma, joka liittyi sen Chrome-selaimen laajennukseen, sen jälkeen kun haitallinen koodi löydettiin ohjelmiston versiosta 2.68. Ongelma tunnistettiin kaksi päivää ennen ilmoitusta, kun raportit ilmestyivät siitä, että käyttäjien varoja tyhjennettiin pian päivityksen jälkeen, joka julkaistiin 24. joulukuuta.
Vaikuttaneet käyttäjät voivat nyt jättää vaatimuksia virallisen tukilomakkeen kautta, joka on isännöity Trust Walletin verkkosivustolla. Vaatimusprosessi vaatii käyttäjiltä tietojen antamista, mukaan lukien heidän sähköpostiosoitteensa, asuinmaansa, vaarantuneet lompakkosoitteet, hyökkääjän vastaanottosoitteet ja asiaankuuluvat tapahtumahashit. Trust Wallet sanoi sitoutuvansa korvaamaan kaikki tapahtumasta vaikuttaneet käyttäjät.
Trust Walletin mukaan noin 7 miljoonaa dollaria digitaalisista varoista varastettiin useilla lohkoketjuilla, mukaan lukien Bitcoin, Ethereum ja Solana. Lohkoketjun turvallisuusyritys PeckShield raportoi, että yli 4 miljoonaa dollaria varastetuista varoista oli jo ohjattu keskitettyjen pörssien, kuten ChangeNOW, FixedFloat ja KuCoin, kautta.
”Käyttäjien varat pysyvät ’SAFU’.”
Tapahtuma nostettiin ensimmäisen kerran julkisesti esiin joulupäivänä on-chain-tutkija ZachXBT:n toimesta, joka varoitti, että useat Trust Walletin käyttäjät raportoivat tyhjentyneistä saldoista pian Chrome-laajennuksen päivityksen jälkeen. Trust Wallet julkaisi korjauksen versiossa 2.69 25. joulukuuta.
Toimitusjohtaja Eowyn Chen selitti myöhemmin, että käyttäjät, jotka käyttivät laajennusta ennen 26. joulukuuta kello 11 UTC, olivat mahdollisesti vaikuttaneet. Yhtiön tutkimus totesi, että vuotanut Chrome Web Store API-avain oli käytetty julkaisemaan vaarantunut laajennus, kiertäen sisäiset julkaisukontrollit. Turvallisuusyritys SlowMist havaitsi, että haitallinen koodi keräsi lompakon siemenfraaseja muokattuaan avointa lähdekoodia olevaa analytiikkakirjastoa. Trust Wallet vahvisti, että mobiilisovelluksen käyttäjät ja muiden selainten laajennusten käyttäjät eivät olleet vaikuttaneet.
