一项自动化利用漏洞针对兼容以太坊虚拟机(EVM)的钱包,按照链上分析师 ZachXBT 的说法,每个地址被盗资金不到2000美元,但涉及数百个地址。攻击的广泛性跨越多个网络,表明部署了复杂的脚本来搜索未锁定的钱包和被授权的合约权限,从而实现快速价值提取。
调查显示,此次漏洞可能与 Trust Wallet 浏览器扩展在12月的被侵事件有关;攻击向量涉及一次供应链事件,通过代码注入暴露私钥。安全研究人员将近期的资金外流与一场假冒官方 MetaMask 通讯的钓鱼邮件活动联系起来,这些邮件旨在诱使用户授予恶意合约权限。
网络安全专家 Vladimir S. 指出,攻击者可能利用内部信息或泄露的凭据来绕过标准安全检查。一旦用户接受了授权提示,自动化机器人就执行交易,将代币转移到漏洞地址。此类事件凸显了自我托管钱包在未对智能合约授权进行常规审计或使用后撤销时所面临的持续威胁。
作为缓解措施,专家建议钱包持有者定期审计其已批准的智能合约清单,并对高价值资金使用硬件设备或多重签名解决方案。Revoke.cash 和 Etherscan 的授权检查工具等平台提供查看和撤销不需要权限的工具。与此同时,Trust Wallet 团队已承诺对受害者进行赔偿,并实施代码强化措施与供应链安全协议,以防止未来事件。
此次漏洞说明,尽管去中心化和加密技术取得了进展,但人为因素和采购做法仍然是关键漏洞。不断演变的威胁环境可能促使更广泛地采用最佳实践,包括链上分析用于异常检测,以及集成针对未授权交易的自动警报系统,安全社区正努力缩短不法分子利用的机会窗口。
评论 (0)