Oppfordring til Stans av Transaksjoner
DeBridge-grunnlegger Alex Smirnov har oppfordret validatorer til å stoppe transaksjoner inntil en utbedringsplan er på plass for berørte brukere. Separat bekreftet Trust Wallet at ondsinnet kode som var innebygd i deres Chrome-utvidelse, førte til omtrent 7 millioner dollar i stjålne eiendeler på tvers av flere blokkjeder. Dette fikk lommebokleverandøren til å starte en formell kompensasjonsprosess. Binance-grunnlegger Changpeng Zhao har uttalt at alle berørte tap vil bli dekket.
Utnyttelse av Flow-blokkjeden
Alex Smirnov, grunnlegger av krysskjede-broleverandøren deBridge, oppfordret offentlig validatorer på Flow-blokkjeden til å stoppe transaksjonsbehandling inntil en klar utbedringsplan er etablert for brukere som er berørt av nettverkets kontroversielle tilbakeføringsforslag. Oppfordringen kom etter en utnyttelse på 3,9 millioner dollar som skjedde 27. desember, da en angriper utnyttet en sårbarhet i Flows utførelseslag og tappet midler fra nettverket gjennom flere krysskjede-broer.
Tilbakeføringsplanen ble introdusert som en nødrespons på utnyttelsen, men utløste omfattende bekymringer i Flow-økosystemet. Smirnov advarte om at tilbakeføringen skapte forvirring rundt brukerbalanser, spesielt for de som broet eiendeler ut av Flow i løpet av det berørte vinduet, og nå står overfor muligheten for doblede eller feilaktige balanser.
Som en av Flows primære broleverandører var deBridge direkte eksponert for disse inkonsistensene, noe som førte til Smirnovs oppfordring om bedre åpenhet og koordinering fra Flow Foundation. Til tross for appellen har ikke Flow-validatorene vært i stand til å svare. Blokkjededata viser at Flow har vært stilt på blokk høyde 137,385,824 siden sent lørdag kveld, selv om Flow Foundation indikerte at nettverket forventes å starte på nytt innen fire til seks timer. Så langt har markedets reaksjon vært alvorlig. FLOW-tokenet har falt med omtrent 42 % siden utnyttelsen, ifølge data fra CoinCodex.
Kontrovers og Kritikk
Kontroversen ble ytterligere komplisert av blandede meldinger fra interessenter i økosystemet. I oktober sa Dapper Labs—skaperen av Flow—at en revidert gjenopprettingsplan ville eliminere behovet for en tilbakeføring helt, og bevare legitim brukeraktivitet mens nettverksoperasjoner gjenopprettes. Imidlertid hevder kritikere at skaden på tilliten allerede er gjort. Smirnov beskrev tilbakeføringsbeslutningen som forhastet og sa at økosystempartnere ikke ble riktig varslet, og advarte om at tilbakeføringer kan forårsake kaskadeproblemer for broer, forvaltere, børser og brukere som handlet i god tro.
Gabriel Shapiro, juridisk rådgiver hos Delphi Labs, kritiserte Flows tilnærming ved å antyde at den effektivt skaper ubekreftede eiendeler og flytter byrden av avbøtning over på broer og utstedere.
Mens Dapper Labs har insistert på at ingen brukerbalanser—inkludert deres egen kasse—ble påvirket, forblir skepsisen. Flow tiltrakk en gang mye støtte og sikret til og med 725 millioner dollar i finansiering fra firmaer inkludert Andreessen Horowitz og Union Square Ventures. I dag har imidlertid nettverket bare 85,5 millioner dollar i total verdi låst, og FLOW har sklidd utenfor topp 300 kryptovalutaer etter markedsverdi.
Kompensasjonsprosess fra Trust Wallet
Et annet kryptorelatert selskap prøver å komme seg etter en nylig utnyttelse. Trust Wallet kunngjorde lanseringen av en formell kompensasjonsprosess for brukere som ble påvirket av en nylig sikkerhetshendelse som involverte deres Chrome-nettleserutvidelse, etter oppdagelsen av ondsinnet kode innebygd i versjon 2.68 av programvaren. Problemet ble identifisert to dager før kunngjøringen, etter at rapporter dukket opp om at brukerfond ble tappet kort tid etter en oppdatering som ble utgitt 24. desember.
Berørte brukere kan nå sende inn krav gjennom et offisielt støtteformulær som er vert på Trust Wallets nettsted. Kravprosessen krever at brukere oppgir detaljer som e-postadresse, bostedsland, kompromitterte lommebokadresser, angriperens mottaksadresser og relevante transaksjonshash. Trust Wallet har uttalt at de er forpliktet til å kompensere alle brukere som ble påvirket av hendelsen.
Ifølge Trust Wallet ble omtrent 7 millioner dollar i digitale eiendeler stjålet på tvers av flere blokkjeder, inkludert Bitcoin, Ethereum og Solana. Blokkjedesikkerhetsfirmaet PeckShield rapporterte at mer enn 4 millioner dollar av de stjålne midlene allerede hadde blitt kanalisert gjennom sentraliserte børser som ChangeNOW, FixedFloat og KuCoin. Changpeng Zhao, grunnlegger av Binance, som kjøpte Trust Wallet i 2018, bekreftet offentlig at alle tap ville bli dekket. Zhao uttalte på X at brukerfond forblir «SAFU.»
Hendelsen ble først flagget offentlig på julaften av on-chain etterforsker ZachXBT, som advarte om at flere Trust Wallet-brukere rapporterte om tappede balanser kort tid etter oppdateringen av Chrome-utvidelsen. Trust Wallet utga en løsning i versjon 2.69 den 25. desember. CEO Eowyn Chen forklarte senere at brukere som fikk tilgang til utvidelsen før 26. desember kl. 11.00 UTC potensielt var berørt. Selskapets etterforskning fastslo at en lekket Chrome Web Store API-nøkkel ble brukt til å publisere den kompromitterte utvidelsen, og omgå interne utgivelseskontroller. Sikkerhetsfirmaet SlowMist fant at den ondsinnede koden samlet inn lommebokfrøfraser ved hjelp av et modifisert open-source analysebibliotek. Trust Wallet bekreftet at mobilapp-brukere og brukere av andre nettleserutvidelser ikke ble påvirket.
