事件概覽
於 2025 年 12 月 26 日,關於 Trust Wallet 的 Chrome 瀏覽器擴展程式版本 2.68 出現大規模未經授權提款的報告。在例行更新後數小時,攻擊者在該擴展中部署惡意代碼,悄然竊取種子短語與私鑰。受害者報告在多條鏈上資金突然被提走,初步的區塊鏈分析顯示損失約為 700 萬美元。
攻擊向量與時間線
- 2025 年 12 月 24 日:版本 2.68 通過 Chrome 線上應用商店發布。
- 2025 年 12 月 26 日,00:15 UTC:區塊鏈偵探 ZachXBT 在觀察到來自不同錢包的資金快速轉移後向社群發出警告。
- 2025 年 12 月 26 日,02:00 UTC:PeckShield 確認轉移金額超過 600 萬美元,約 40% 的被盜資產透過中心化交易所洗錢。
- 2025 年 12 月 26 日,04:30 UTC:Trust Wallet 發出通告,停用版本 2.68 並升級至修補版本 2.69。
- 2025 年 12 月 26 日,07:42 UTC:Trust Wallet 確認總損失約 700 萬美元,承諾全面補償用戶。
技術分析
攻擊者透過在擴展的核心腳本中注入 PostHog JS 監測工具,植入供應鏈後門。這使受害者的解密的種子短語和私鑰資料能夠實時外洩至惡意端點。鏈上聚類顯示,被盜資產分散在比特幣、以太坊、索拉納及其他與 EVM 相容的代幣之間,贖金收入集中到少數提款地址,然後分發到交易所以換成法幣。
緩解措施與回應
Trust Wallet 已發布版本 2.69,該版本移除了惡意代碼並輪換了更新擴展所使用的關鍵簽名。受影響的用戶被敦促撤銷對該擴展的權限,將剩餘資產轉移至新錢包,並在可用時啟用雙因素認證。幣安創辦人趙長鵬(CZ)公開承諾按照 SAFU 基金進行賠償。獨立安全公司正在審核程式碼庫並監控是否存在殘留漏洞。
更廣泛的影響
此事件凸顯了基於瀏覽器的錢包擴展所面臨的風險升高。與硬件錢包或完全獨立的桌面客戶端不同,瀏覽器擴展在瀏覽器的安全上下文中運行,增加了攻擊面。專家建議使用硬件錢包或帳戶抽象解決方案,強制交易延遲並需用戶對代碼級變更給予明確批准。
關鍵教訓
- 供應鏈妥協可直接將惡意代碼注入到合法軟件更新中。
- 快速公告與修補程式發布,加上公開的賠償保證,是損害控制的關鍵。
- 瀏覽器擴展環境仍然脆弱;對於大額資產,用戶應考慮硬件錢包或多簽等替代方案。
評論 (0)