Konsekvenserna av Trust Wallets problem med Chrome-tillägget blev större den 26 december när Changpeng Zhao (CZ) uttalade sig offentligt och antydde att en insider kan vara inblandad.
Kommentaren kom när Trust Wallet bekräftade att ungefär 7 miljoner USD i användarmedel har påverkats hittills.
Insideråtkomst är en viktig del av utredningen
CZ sa att Trust Wallet kommer att ersätta alla drabbade användare och poängterade att kundernas pengar fortfarande är säkra.
Han la dock till att utredare fortfarande undersöker hur en skadlig uppdatering av tillägget kunde passera distributionskontrollerna och menar att insider är “mest troligt”.
Uttalandet ökade oron för interna tillgångar och styrning av uppdateringar, och inte bara för ett externt intrång.
Trust Wallet bekräftade senare att händelsen endast påverkade Browser Extension version 2,68 och betonade att mobilanvändare och andra versioner inte drabbades.
Företaget säger att de nu avslutar processen för kompensation och kommer att ge tydliga instruktioner till drabbade användare.
Användare bör under tiden vara extra försiktiga med nätfiske som utger sig för att vara officiell support.
Insiderteorin har fått speciell uppmärksamhet i kryptosäkerhetskretsar. Webbläsartillägg kräver signeringsnycklar, utvecklarkonton och godkännandeprocesser för att kunna släppa uppdateringar.
För att en skadlig eller komprometterad version ska kunna distribueras genom Chrome Web Store, ser utredare ofta på antingen ett kapat konto eller direkt intern tillgång.
Båda situationerna visar på svagheter i säkerheten för verksamheten och inte en vanlig programvarubugg.
Sådana risker är inte bara teorier. Under det senaste året har flera välkända incidenter med webbläsartillägg haft sin grund i kapade utvecklarkonton eller osäkra uppdateringsrutiner.
TWT-token sjunker kort innan den återhämtar sig
Marknaden reagerade med osäkerhet. Trust Wallets egen token, TWT, såldes kraftigt efter de första rapporterna den 25 december.
Men priserna stabiliserades och steg den 26 december efter att det blev klart att förlusten var begränsad och att återbetalningar skulle ske.
Trust Wallet agerade snabbt för att stoppa händelsen, men detta visar ändå på en större utmaning för branschen.
När kryptoplånböcker allt mer använder webbläsartillägg blir uppdateringssäkerhet och hantering av insiderhot mycket viktiga frågor och inget sekundärt längre.
