根據鏈上分析師 ZachXBT 指出,一次自動化的漏洞攻擊針對與以太坊虛擬機(EVM)相容的錢包,從數百個地址中每個提取不足2,000美元。這次攻擊規模廣泛,跨越多個網路,顯示部署了高級腳本去搜尋未鎖定的錢包及已授權的合約許可,以便快速提取價值。
調查顯示,此次漏洞可能與 Trust Wallet 瀏覽器擴充套件在十二月被攻擊事件有關,攻擊向量涉及供應鏈事件,透過代碼注入暴露私鑰。安全研究人員將近期的資金外流與一場偽裝成官方 MetaMask 通訊的釣魚郵件活動聯繫起來,旨在欺騙用戶授予惡意合約權限。
網路安全專家 Vladimir S. 指出,攻擊者很可能利用內部知識或洩漏的憑證,繞過標準安全檢查。一旦用戶接受授權提示,自動化機器人便執行交易,將代幣轉入漏洞地址。此類事件凸顯了自托管錢包在未定期審核或在使用後未撤回智能合約授權時所面臨的持續威脅。
作為緩解措施,專家建議錢包持有人定期審核其已批准的智能合約清單,對高值資金使用硬件裝置或多重簽名解決方案。像 Revoke.cash 和 Etherscan 的授權檢查工具提供查看及撤銷不需要的權限的功能。與此同時,Trust Wallet 團隊承諾在實施代碼加固措施和供應鏈安全協議以防止未來事件時,向受害者提供賠償。
此漏洞事件說明,儘管去中心化和加密技術有所進步,人為因素與採購實踐仍然是關鍵漏洞。日益變化的威脅格局可能促使更廣泛地採用最佳實踐,包括鏈上分析以偵測異常,以及整合自動警報系統以偵測未授權交易,安全社群正努力縮短壞人可乘之機會窗口。
評論 (0)