Uppmaning till Flow-validatorer
Alex Smirnov, grundare av deBridge, har uppmanat validatorer på Flow-blockkedjan att stoppa transaktioner tills en åtgärdsplan för drabbade användare är på plats. Separat bekräftade Trust Wallet att skadlig kod inbäddad i deras Chrome-tillägg ledde till att cirka 7 miljoner dollar i tillgångar stals över flera blockkedjor, vilket fick plånboksleverantören att inleda en formell kompensationsprocess. Changpeng Zhao, grundare av Binance, har meddelat att alla drabbade förluster kommer att täckas.
Utnyttjande och återställningsplan
Smirnovs uppmaning kom efter ett utnyttjande på 3,9 miljoner dollar den 27 december, där en angripare utnyttjade en sårbarhet i Flows exekveringslager och avledde medel från nätverket genom flera cross-chain-bryggor. Återställningsplanen introducerades som en nödlösning efter utnyttjandet, men väckte omfattande oro inom Flow-ekosystemet.
”Återställningen skapar förvirring kring användarsaldon, särskilt för dem som överfört tillgångar utanför Flow under den påverkade perioden, vilket kan leda till dubbla eller felaktiga saldon.”
Som en av Flows primära bryggleverantörer var deBridge direkt påverkad av dessa inkonsekvenser, vilket ledde till Smirnovs krav på bättre transparens och samordning från Flow Foundation. Trots uppmaningen har Flow-validatorer ännu inte kunnat svara. Blockkedjedata visar att Flow förblev stillastående vid blockhöjd 137,385,824 sedan sent på lördagskvällen, även om Flow Foundation indikerade att nätverket förväntades starta om inom fyra till sex timmar.
Marknadsreaktion och kritik
Hittills har marknadsreaktionen varit allvarlig, med en nedgång på cirka 42% för FLOW-token sedan utnyttjandet, enligt data från CoinCodex. Kontroversen förvärrades ytterligare av blandade budskap från ekosystemets intressenter. I oktober meddelade Dapper Labs, skaparen av Flow, att en reviderad återhämtningsplan skulle eliminera behovet av en återställning helt, vilket skulle bevara legitim användaraktivitet samtidigt som nätverksoperationerna återställs. Kritiker hävdar dock att skadan på förtroendet redan var gjord.
”Beslutet om återställning var förhastat och ekosystempartnerna informerades inte på rätt sätt.”
Gabriel Shapiro, juridisk rådgivare på Delphi Labs, kritiserade Flows tillvägagångssätt och menade att det effektivt skapar obackade tillgångar och flyttar bördan av åtgärder till bryggor och utgivare. Medan Dapper Labs har insisterat på att inga användarsaldon, inklusive sin egen kassa, påverkades, kvarstår skepsisen.
Trust Wallets kompensationsprocess
Ett annat kryptorelaterat företag försöker återhämta sig efter ett nyligen utnyttjande. Trust Wallet tillkännagav lanseringen av en formell kompensationsprocess för användare som påverkades av en säkerhetsincident som involverade deras Chrome-webbläsartillägg, efter upptäckten av skadlig kod inbäddad i version 2.68 av programvaran. Problemet identifierades två dagar före tillkännagivandet, efter att rapporter kommit in om att användarfonder drogs bort strax efter en uppdatering som släpptes den 24 december.
Drabbade användare kan nu skicka in krav genom ett officiellt supportformulär som finns på Trust Wallets webbplats. Kravprocessen kräver att användare anger detaljer som sin e-postadress, bostadsland, komprometterade plånboksadresser, angriparens mottagaradresser och relevanta transaktionshashar. Trust Wallet har meddelat att de är engagerade i att kompensera alla användare som påverkades av incidenten.
Stulna tillgångar och säkerhetsåtgärder
Enligt Trust Wallet stals cirka 7 miljoner dollar i digitala tillgångar över flera blockkedjor, inklusive Bitcoin, Ethereum och Solana. Blockkedjesäkerhetsföretaget PeckShield rapporterade att mer än 4 miljoner dollar av de stulna medlen redan hade kanaliserats genom centraliserade börser som ChangeNOW, FixedFloat och KuCoin. Changpeng Zhao, grundare av Binance, som förvärvade Trust Wallet 2018, bekräftade offentligt att alla förluster skulle täckas.
”Användarfonder förblir SAFU.”
Incidenten flaggades först offentligt på juldagen av on-chain-utredaren ZachXBT, som varnade för att flera Trust Wallet-användare rapporterade uttömda saldon strax efter uppdateringen av Chrome-tillägget. Trust Wallet utfärdade en fix i version 2.69 den 25 december. VD Eowyn Chen förklarade senare att användare som fick tillgång till tillägget före den 26 december klockan 11:00 UTC potentiellt påverkades.
Företagets utredning fastställde att en läckt API-nyckel från Chrome Web Store användes för att publicera det komprometterade tillägget, vilket kringgick interna utgivningskontroller. Säkerhetsföretaget SlowMist fann att den skadliga koden skördade plånboksfröfraser med hjälp av ett modifierat open-source analysbibliotek. Trust Wallet bekräftade att mobilappanvändare och användare av andra webbläsartillägg inte påverkades.
