Призыв к приостановке транзакций
Основатель deBridge Алекс Смирнов призвал валидаторов приостановить транзакции до тех пор, пока не будет разработан план восстановления для пострадавших пользователей. В отдельном сообщении Trust Wallet подтвердила, что вредоносный код, встроенный в ее расширение для Chrome, привел к краже примерно 7 миллионов долларов активов на нескольких блокчейнах, что побудило провайдера кошелька запустить формальный процесс компенсации. Основатель Binance Чанпэн Чжао заявил, что все понесенные убытки будут покрыты.
Эксплуатация на блокчейне Flow
Алекс Смирнов, основатель провайдера кросс-цепного моста deBridge, публично призвал валидаторов на блокчейне Flow приостановить обработку транзакций до тех пор, пока не будет установлен четкий план восстановления для пользователей, пострадавших от спорного предложения о откате сети. Призыв был сделан после эксплуатации на сумму 3,9 миллиона долларов, произошедшей 27 декабря, когда злоумышленник воспользовался уязвимостью в слое исполнения Flow и вывел средства из сети через несколько кросс-цепных мостов.
Смирнов предупредил, что откат создал путаницу вокруг балансов пользователей, особенно для тех, кто выводил активы из Flow в течение затронутого окна и теперь сталкивается с возможностью удвоенных или несоответствующих балансов.
Как один из основных провайдеров мостов Flow, deBridge был непосредственно подвержен этим несоответствиям, что привело к призыву Смирнова к лучшей прозрачности и координации со стороны Фонда Flow. Несмотря на призыв, валидаторы Flow пока не смогли отреагировать. Данные блокчейна показывают, что Flow оставался заблокированным на высоте блока 137385824 с позднего субботнего вечера, даже несмотря на то, что Фонд Flow указал, что сеть ожидается перезапуск в течение четырех-шести часов.
Реакция рынка и последствия
На данный момент реакция рынка была серьезной. Токен FLOW упал примерно на 42% с момента эксплуатации, согласно данным CoinCodex. Спор был дополнительно осложнен смешанными сообщениями от участников экосистемы. В октябре Dapper Labs — создатель Flow — заявила, что пересмотренный план восстановления полностью устранит необходимость в откате, сохраняя законную активность пользователей и восстанавливая работу сети. Однако критики утверждают, что ущерб доверию уже был нанесен.
Смирнов описал решение об откате как поспешное и сказал, что партнеры экосистемы не были должным образом уведомлены.
Габриэль Шапиро, главный юрисконсульт Delphi Labs, раскритиковал подход Flow, предположив, что он фактически создает необеспеченные активы и перекладывает бремя смягчения на мосты и эмитентов. Хотя Dapper Labs настаивала на том, что ни один баланс пользователя — включая собственную казну — не пострадал, скептицизм остается.
Инцидент с Trust Wallet
Еще одна крипто-компания пытается восстановиться после недавней эксплуатации. Trust Wallet объявила о запуске формального процесса компенсации для пользователей, пострадавших от недавнего инцидента с безопасностью, связанного с его расширением для браузера Chrome, после обнаружения вредоносного кода, встроенного в версию 2.68 программного обеспечения. Проблема была выявлена за два дня до объявления, после того как появились сообщения о том, что средства пользователей были выведены вскоре после обновления, выпущенного 24 декабря.
Пострадавшие пользователи теперь могут подать заявки через официальный формуляр поддержки, размещенный на сайте Trust Wallet. Процесс подачи заявок требует от пользователей предоставить такие данные, как адрес электронной почты, страну проживания, скомпрометированные адреса кошельков, адреса получения злоумышленника и соответствующие хеши транзакций. Trust Wallet заявила, что она привержена компенсации всех пользователей, пострадавших от инцидента.
Кража активов и реакция Binance
По данным Trust Wallet, примерно 7 миллионов долларов в цифровых активах были украдены на нескольких блокчейнах, включая Bitcoin, Ethereum и Solana. Блокчейн-безопасная компания PeckShield сообщила, что более 4 миллионов долларов из украденных средств уже были направлены через централизованные биржи, такие как ChangeNOW, FixedFloat и KuCoin. Чанпэн Чжао, основатель Binance, который приобрел Trust Wallet в 2018 году, публично подтвердил, что все убытки будут покрыты.
Чжао заявил в X, что средства пользователей остаются «SAFU».
Инцидент был впервые публично отмечен в день Рождества исследователем блокчейна ZachXBT, который предупредил, что несколько пользователей Trust Wallet сообщают о выведенных балансах вскоре после обновления расширения Chrome. Trust Wallet выпустил исправление в версии 2.69 25 декабря. Генеральный директор Эовин Чен позже объяснила, что пользователи, которые получили доступ к расширению до 26 декабря в 11:00 по всемирному координированному времени, могли быть затронуты.
Расследование компании установило, что утечка ключа API Chrome Web Store была использована для публикации скомпрометированного расширения, обходя внутренние контрольные механизмы выпуска. Безопасная компания SlowMist обнаружила, что вредоносный код собирал фразы семян кошелька, используя модифицированную библиотеку аналитики с открытым исходным кодом. Trust Wallet подтвердила, что пользователи мобильного приложения и пользователи других расширений браузера не пострадали.
