概覽
Trust Wallet 已證實,透過被妥協的 Chrome 擴充功能更新所引發的供應鏈攻擊,造成約 850 萬美元的損失。被洩漏的 Google Chrome Web Store API 金鑰允許攻擊者直接將惡意版本的 Trust Wallet 瀏覽器擴充功能上傳至官方 Web Store,繞過程式碼審核與安全檢查。
攻擊詳情
- 攻擊期間:2025年12月24日至26日
- 擴充功能版本:2.68
- 受害地址數量:2,520 個
- 方法:偽裝成分析流量的惡意程式碼,指向假域名 metrics-trustwallet[.]com
技術分析
供應鏈攻擊類別:金鑰被妥協。與通常的智慧合約漏洞不同,這次事件針對的是發佈機制。用於發佈擴充功能的私密憑證被暴露,導致惡意代碼被注入到發布管線。未利用鏈上漏洞;終端使用者是透過可信的基礎設施成為目標。
回應措施
- 立即撤銷被洩露的 API 憑證。
- 回滾至安全的擴充版本 2.69。
- 在部署系統實施增強的發佈金鑰管理與多因素認證。
- 向所有符合條件的受害者提供賠償,涵蓋全部損失。
行業影響
關鍵基礎設施元件,例如分發金鑰,代表單點故障。基於擴充功能的錢包應採用嚴格的憑證輪換、對發佈者帳戶的監控,以及帶外代碼簽名等措施,以降低類似風險。安全團隊必須把供應鏈向量與智慧合約審計視為同等重要性。
使用者建議
已安裝 2.68 版本的使用者必須假設已被妥協,將資金轉移至在安全裝置上生成的新錢包,並重新產生種子詞。必須驗證擴充版本並更新至 v2.69 或更高版本。就賠償的申請應透過官方 Trust Wallet 支援渠道提出。
評論 (0)