Trust Wallet 已為在其最新版 Chrome 瀏覽器擴充功能中遭惡意程式碼攻擊而失去資金的用戶啟動正式賠償流程,這被視為該公司迄今最重大的安全應對行動之一。
錢包服務商表示,受影響用戶現在可以透過官方入口提交申請,需提供基本身分資訊,以及遭入侵的錢包地址、攻擊者地址與相關交易雜湊值。
Trust Wallet 稱將補償所有經核實的損失,並強調每一份申請都會經過詳細審核,以避免進一步風險。
公司確認,大約 700 萬美元的數位資產自多條區塊鏈的用戶處被轉出,其中包括 Bitcoin、Ether 與 Solana。
區塊鏈安全公司 PeckShield 報告指出,已超過 400 萬美元經由 ChangeNOW、FixedFloat 與 KuCoin 等中心化交易所被轉移,而截至週四,仍有近 300 萬美元留在攻擊者控制的錢包中。
幣安創辦人 趙長鵬(Changpeng Zhao)——其公司於 2018 年收購 Trust Wallet——表示這些損失將全數填補。他在 X 上寫道,「TrustWallet 會負責」,並補充用戶資金「都是 SAFU」。
延伸閱讀:Why JPMorgan Is Cutting Off Stablecoin Neobanks In Latin America Despite Crypto-Friendly Messaging
入侵是如何發生的
事件於聖誕節當天浮上檯面,鏈上分析師 ZachXBT 警告稱,用戶在更新至 12 月 24 日釋出的擴充功能版本後,開始回報出現資金突然被轉出的情況。
Trust Wallet 在 12 月 25 日推出修補版本。
根據執行長 Eowyn Chen 的說法,這次攻擊源於一組外洩的 Chrome 線上應用程式商店 API 金鑰,使得惡意版本擴充功能得以上架,而無需經過公司內部的發布流程。
安全研究團隊 SlowMist 慢霧發現,該惡意版本透過被修改過的分析函式庫竊取助記詞。
Trust Wallet 表示,在 12 月 26 日世界協調時間上午 11 點之前使用到遭入侵擴充功能版本的用戶,都有可能已遭曝險。
影響範圍與受害用戶
這起事件僅影響 Chrome 擴充功能 2.68 版;行動裝置 App 用戶以及使用其他擴充功能版本的用戶並未受到波及。
根據其在 Chrome 線上應用程式商店的頁面,Trust Wallet 擴充功能約有一百萬名使用者。
下一篇閱讀:Bitcoin Breaks Downtrend, Rare Market Signals Hint At Multi-Week Rally