Kebocoran pemalam penyemak imbas Trust Wallet mengalirkan $7 Juta daripada pengguna

by Admin |

Gambaran Kejadian

Pada 26 Disember 2025, timbul laporan penarikan tanpa kebenaran secara besar-besaran daripada sambungan penyemak imbas Chrome Trust Wallet, versi 2.68. Dalam beberapa jam selepas kemas kini rutin, penyerang telah memasang kod berniat jahat dalam sambungan itu yang secara senyap menangkap frasa benih dan kunci peribadi. Mangsa melaporkan aliran dana mendadak merentasi beberapa rantaian, dengan analisis pada-rantai awal menunjukkan kerugian sekitar $7 juta.

Vektor Serangan dan Garis Masa

  • 24 Disember 2025: Versi 2.68 dilepaskan melalui Chrome Web Store.
  • 26 Disember 2025, 00:15 UTC: Siasat blockchain ZachXBT memberi amaran kepada komuniti selepas memerhati pergerakan dana pantas daripada dompet yang pelbagai.
  • 26 Disember 2025, 02:00 UTC: PeckShield mengesahkan penyedutan >$6 juta, dengan kira-kira 40% aset dicuri dilaburkan melalui pertukaran berpusat.
  • 26 Disember 2025, 04:30 UTC: Trust Wallet mengeluarkan nasihat untuk melumpuhkan versi 2.68 dan menaik taraf kepada versi 2.69 yang telah diperbaiki.
  • 26 Disember 2025, 07:42 UTC: Trust Wallet mengesahkan kerugian total sebanyak ~$7 juta dan berjanji memberikan pampasan sepenuhnya kepada pengguna.

Analisis Teknikal

Penyerang menyisipkan pintu belakang rantaian bekalan dengan menyuntik alat ukur PostHog JS ke dalam skrip teras sambungan. Ini membenarkan eksfiltrasi masa nyata frasa benih yang telah didekripsi dan bahan kunci peribadi ke titik akhir berniat jahat. Pengelompokan dalam rantaian blok mendedahkan aset yang dicuri telah dibahagikan merentasi Bitcoin, Ethereum, Solana, dan token lain yang serasi dengan EVM, di mana hasilnya dikumpulkan ke dalam beberapa alamat pengeluaran sebelum diedarkan kepada pertukaran untuk ditukar kepada mata wang fiat.

Langkah Mitigasi dan Tindak Balas

Trust Wallet mengeluarkan versi 2.69, yang membuang kod berniat jahat dan menggilir tandatangan kritikal yang digunakan dalam kemas kini sambungan. Pengguna yang terjejas didesak untuk membatalkan kebenaran sambungan, memindahkan baki aset ke dompet baharu, dan mengaktifkan pengesahan dua faktor jika tersedia. Pengasas Binance, Changpeng Zhao (CZ), secara terbuka menjamin pampasan di bawah dana SAFU. Firma keselamatan bebas sedang mengaudit kod asas dan memantau kerentanan sisa.

Implikasi Lebih Luas

Insiden ini menekankan risiko yang meningkat berkaitan dengan sambungan dompet berasaskan penyemak imbas. Berbanding dengan peranti keras atau klien desktop yang benar-benar berdikari, sambungan penyemak imbas beroperasi dalam konteks keselamatan penyemak imbas, meningkatkan permukaan serangan. Pakar mengesyorkan penggunaan dompet perkakasan atau penyelesaian pengabstrakan akaun yang menegakkan kelewatan transaksi dan memerlukan kelulusan pengguna secara jelas untuk perubahan pada peringkat kod.

Pengajaran Utama

  1. Kompromi rantaian bekalan boleh memasukkan kod berniat jahat secara langsung ke dalam kemas kini perisian yang sah.
  2. Nasihat pantas dan peluncuran patch yang cepat, dipadukan dengan jaminan pampasan awam, adalah kritikal untuk kawalan kerosakan.
  3. Persekitaran sambungan penyemak imbas masih terdedah; pengguna perlu mempertimbangkan alternatif dompet perkakasan atau multi-tanda untuk pegangan besar.

Komen (0)

Jadilah ahli VIP
βœ–

Sertai surat berita kami

Langgan untuk menerima kemas kini terkini, petua percuma dan tawaran eksklusif!

βœ–
Jason baru sahaja menjadi ahli VIP!
Menjadi peserta

Tawaran terhad

Dapatkan diskaun 20% untuk langganan VIP sekarang!
00:00:00

Dapatkan diskaun
βœ–

Dapatkan isyarat hari ini

Satu isyarat BTC/ETH terkini dari saluran kami β€” percuma.
Periksa bagaimana ia berfungsi sebelum beralih ke VIP.

Pergi ke saluran Telegram Tanpa spam β€” hanya idea perdagangan.