12月25日,多位加密貨幣用戶報告其 Trust Wallet 瀏覽器外掛出現快速且未經授權的提領,促使社群立刻發出警報。最初的報告由鏈上調查員 ZachXBT 發出,他在兩小時內標註在 EVM 兼容鏈、比特幣與 Solana 上出現數百個被盜地址。該等報告的急速損失上升—最初估計超過六百萬美元—在 Telegram 與 X 平台觸發緊急警告,敦促所有用戶撤回授權並提取資金。
社群研究人員很快確定 Trust Wallet Chrome 擴充套件版本 2.68 為共同因素。對該擴充套件的 JavaScript 檔案進行調查,發現“4482.js”中出現的未經官方發行說明的新增內容。看似分析功能的可疑代碼段,其實能夠捕捉助記詞,將其傳送至 metrics-trustwallet[.]com,然後在匯入助記詞時自動清空錢包資產。該惡意負載僅在錢包匯入事件觸發,從而迴避早期偵測。
隨後的鏈路追蹤分析追蹤到超過六百萬美元的被盜資產,經由隱私混合器與混淆服務流向,凸顯攻擊者迅速洗錢資金的企圖。受害者地址涵蓋內部多簽帳戶、高價值個人錢包,以及小型散戶錢包,凸顯基於瀏覽器的錢包在供應鏈攻擊中的脆弱性。也觀察到來自 Tornado Cash、Wasabi Wallet 等主要混合器的提取交易,顯示協同洗錢策略的存在。
在公共審視之後,Trust Wallet 發佈官方公告,承認此安全事件僅影響外掛版本 2.68。公告建議立即停用該外掛,從官方 Chrome 線上商店升級至版本 2.69,並避免在瀏覽器環境中匯入助記詞。手機與非 Chrome 使用者被報告未受影響。Trust Wallet 強調,該漏洞並未影響其核心手機應用程式或鏈上智能合約。
此事件重新引發有關自我保管風險與運作安全的辯論。專家重申,金鑰管理環境與密碼協定同等重要,供應鏈完整性必須由錢包提供商與瀏覽器市場共同執行。作為立即預防,安全研究人員建議受影響用戶將剩餘資產遷移到在安全且與網路隔離的裝置上建立的新錢包,撤銷所有 dApp 授權,並監控網路活動以尋覓可疑互動。
事發之後,對標準化外掛審查、透明的變更日誌與獨立審計的呼聲更高。區塊鏈安全公司與開源審計團體正合作開發工具,以檢測流行錢包外掛中的異常客戶端程式碼。就目前而言,Trust Wallet 事件成為清晰的例子,顯示供應鏈漏洞如何削弱自我主權資產控制的承諾,促使社群在錢包設計與分發中優先考慮端對端安全。
評論 (0)