Trust Wallet 證實,約有 700 萬美元的加密貨幣是透過遭入侵的瀏覽器擴充功能更新被竊取。
此次安全漏洞只影響 2.68 版的 Chrome 擴充功能,該版本於 12 月 24 日發布。
公司表示,行動裝置錢包用戶並未受到影響。
擁有 Trust Wallet 的 幣安 創辦人 趙長鵬 表示,錢包方將賠償所有受影響用戶。
他在 X 上寫道:「目前已有 700 萬美元受到這次駭客事件影響。Trust Wallet 會承擔損失。用戶資金是 SAFU。」
事件經過
區塊鏈調查員 ZachXBT 在 12 月 25 日首先注意到該事件,起因是收到多起 Trust Wallet 用戶資金被快速轉出的通報。
損失在擴充功能更新後數小時內就發生,顯示這是一場供應鏈被入侵的攻擊。
資安公司 慢霧(SlowMist) 分析惡意程式碼後發現,惡意程式是直接被植入 Trust Wallet 原始碼,而非透過遭入侵的第三方程式庫。
這段後門程式會在錢包解鎖時收集用戶加密後的助記詞,接著傳送到一個由攻擊者控制、並於 12 月 8 日註冊的網域。
慢霧的分析顯示,攻擊者至少在惡意更新發布前兩週就開始準備。
被竊資產包含比特幣、以太幣以及多條區塊鏈上的代幣。
部分個別用戶通報,在短短幾分鐘內就損失超過 30 萬美元。
Trust Wallet 立刻呼籲用戶停用 2.68 版,並透過官方 Chrome 線上應用程式商店升級至修補後的 2.69 版。
延伸閱讀: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
為何重要
這起事件凸顯了,在業界持續加強防護之際,基於瀏覽器的加密貨幣錢包仍存在長期且頑固的安全弱點。
與透過釣魚攻擊個別用戶不同,此次攻擊是滲透 Trust Wallet 的官方發行管道,受害者多是遵守了正確安全作法的用戶。
2024 年,鎖定加密基礎設施的供應鏈攻擊急遽增加。
區塊鏈安全公司 Chainalysis 報告指出,截至 12 月初,加密貨幣竊盜金額已超過 34.1 億美元,高於 2023 年全年的 33.8 億美元。
這次 Trust Wallet 的事件,是該錢包瀏覽器擴充功能遭遇的第二起重大安全問題。
2023 年,硬體錢包製造商 Ledger 的安全團隊在 Trust Wallet 的 Chrome 擴充功能中發現一處關鍵漏洞,將安全強度從 256 位元降至僅 32 位元的熵。
Ledger 技術長 Charles Guillemet 表示,2023 年這項缺陷原本可能讓攻擊者在完全不需用戶互動的情況下就把錢包資金搬空。
該漏洞在遭到大規模利用前就已被發現並修補。
最新事件再次說明,將私鑰離線存放的硬體錢包,仍然是保管大量加密資產時最安全的選擇。
瀏覽器擴充功能需要廣泛的系統權限,且必須同時仰賴擴充功能程式碼與使用者電腦本身的安全性,因此產生了多重潛在攻擊途徑。