在12月25日,多个加密货币用户报告其 Trust Wallet 浏览器扩展遭遇快速且未经授权的提款,引发社区的即时警报。最初的报道来自链上调查人员 ZachXBT,他在两小时内标记了跨越 EVM 兼容链、比特币和 Solana 的数百个被入侵的地址。损失的惊人上升——初步估计超过600万美元——促使 Telegram 和 X 上发出紧急警告,敦促所有用户撤销授权并提取资金。
社区研究人员迅速将 Trust Wallet Chrome 扩展版本 2.68 识别为共同的要素。对该扩展的 JavaScript 文件的调查显示,在“4482.js”中出现了未在官方发布说明中出现的未解释的新增内容。被伪装成分析功能的可疑代码段实际上能够捕获助记词,并将其传送到 metrics-trustwallet[.]com,然后在导入助记词时自动清空钱包。恶意有效载荷仅在钱包导入事件时激活,因而避免了早期检测。
随后链路跟踪分析追踪到超过600万美元的被盗资产,通过隐私混合器与混淆服务进行洗钱,凸显攻击者迅速洗钱的意图。受害者地址覆盖内部多签账户、高价值个人钱包,以及小型零售交易者,强调浏览器钱包在供应链攻击中的脆弱性。还观察到来自主要混合器如 Tornado Cash 和 Wasabi Wallet 的剥离交易,表明这是协调的洗钱策略。
在公众关注之后,Trust Wallet 发布官方公告,承认仅影响扩展版本 2.68 的安全事件。公告建议立即禁用该扩展,从官方 Chrome Web Store 升级到 2.69 版本,并避免在浏览器环境中导入助记词。移动端和非 Chrome 用户据称未受影响。Trust Wallet 强调此次事件未影响其核心移动应用或链上智能合约。
此事件重新点燃了关于自我托管风险与运营安全的辩论。专家重申,密钥管理环境与密码学协议同样关键,供应链的完整性必须由钱包提供商和浏览器市场共同执行。作为立即的预防措施,安全研究人员建议受影响的用户将剩余资产迁移到在安全、离线设备上创建的全新钱包,撤销所有 dApp 的授权,并监控网络活动以发现可疑交互。
袭击发生后,对扩展进行标准化审核、透明变更日志以及独立审计的呼声日益高涨。区块链安全公司和开源审计组织正在合作开发工具,以检测流行钱包扩展中的异常客户端代码。目前,Trust Wallet 事件成为一个鲜明的例子,说明供应链漏洞如何削弱自我主权资产控制的承诺,促使社区在钱包设计和发行中优先考虑端到端的安全性。
评论 (0)