Trust Wallet 确认大约 700 万美元的加密货币被 stolen through a compromised browser extension update。
此次安全漏洞仅影响 Chrome 扩展的 2.68 版本,该版本于 12 月 24 日 released。
公司表示,移动端钱包用户未受到影响。
币安创始人、Trust Wallet 所属公司的负责人**赵长鹏(CZ)**表示, 钱包方将赔偿所有受影响用户。
他在 X 上写道:“目前本次黑客事件影响金额为 700 万美元。Trust Wallet 会全额承担。 用户资金是 SAFU 的。”
事件经过
区块链调查员 ZachXBT 于 12 月 25 日率先发现这一事件, 起因是收到了多名 Trust Wallet 用户资金被迅速转走的报告。
损失发生在扩展更新后的数小时内,显示这是一起供应链被攻破的事件。
安全公司 SlowMist(慢雾) 分析恶意代码后发现, 代码是直接注入 Trust Wallet 源代码,而非通过第三方依赖库被篡改。
该后门代码会在钱包解锁时收集用户加密后的助记词, 然后将数据 sent 至攻击者控制的域名, 该域名注册于 12 月 8 日。
慢雾的分析显示,攻击者至少在恶意更新部署前两周就开始筹备。
被盗资金包括比特币、以太坊以及多条区块链网络上的各类资产。
有个别用户报告称,在短短几分钟内,钱包中的资产就被转走,损失超过 30 万美元。
Trust Wallet 立即敦促用户禁用 2.68 版本,并通过官方 Chrome 网上应用店 升级至修复后的 2.69 版本。
相关阅读: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
影响与意义
这一事件凸显出,在行业不断强化防护措施的背景下, 基于浏览器的加密货币钱包仍存在持续的安全隐患。
与针对单个用户钓鱼攻击不同,此次攻击渗透的是 Trust Wallet 官方分发渠道, 受害者是那些遵循了安全最佳实践的普通用户。
2024 年,针对加密基础设施的供应链攻击大幅增加。
区块链安全公司 Chainalysis reported 称, 截至 12 月上旬,加密货币被盗金额已超过 34.1 亿美元, 而 2023 年全年为 33.8 亿美元。
此次 Trust Wallet 漏洞,是其浏览器扩展遭遇的第二个重大安全事件。
2023 年,硬件钱包厂商 Ledger 的安全团队曾在 Trust Wallet Chrome 扩展中 发现一个严重漏洞,将安全强度从 256 位熵降低到仅 32 位。
Ledger 首席技术官 Charles Guillemet 表示, 这一 2023 年的缺陷可能让攻击者在无需任何用户操作的情况下直接掏空钱包。
该漏洞在被大规模利用前已被发现并修复。
最新事件再度强调,为大额加密资产选择离线保存私钥的硬件钱包, 依然是目前最安全的方案。
浏览器扩展需要广泛的系统权限,并依赖扩展代码与用户电脑本身的安全性, 这为攻击者提供了多种潜在攻击入口。