概览
Trust Wallet 确认,由于 Chrome 浏览器扩展更新被劫持导致供应链攻击,损失约850万美元。泄露的谷歌 Chrome 网上应用商店 API 密钥允许攻击者直接将 Trust Wallet 浏览器扩展的恶意版本上传到官方 Chrome 网上应用商店,绕过代码审查和安全检查。
攻击详情
- 攻击时期:2025年12月24日至26日
- 扩展版本:2.68
- 受害者数量:2,520个钱包地址
- 方法:伪装成分析流量的恶意代码,指向伪造域名 metrics-trustwallet[.]com
技术分析
供应链攻击类别:密钥妥协。与典型的智能合约漏洞不同,此事件针对的是分发机制。用于发布扩展的私有凭据被暴露,导致在发布流水线中注入外泄代码。未利用链上漏洞;最终用户通过受信任的基础设施成为攻击目标。
应对措施
- 立即撤销被泄露的 API 凭据。
- 已回滚到安全的扩展版本 2.69。
- 在部署系统上实施了强化的发布密钥管理和多因素认证。
- 向所有符合条件的受害者提供赔偿,覆盖全部损失。
行业影响
关键基础设施要素(如分发密钥)构成单点故障。基于扩展的钱包应采用严格的凭据轮换、对发布者账户的监控,以及带外代码签名,以降低类似风险。安全团队必须将供应链攻击向量与智能合约审计同等优先级对待。
用户建议
安装了版本 2.68 的用户应假设已被妥协,将资金转移到在安全设备上生成的新钱包,并重新生成种子短语。验证扩展版本并更新到 v2.69 或更高版本为必需。赔偿申请应通过官方 Trust Wallet 支持渠道提交。
评论 (0)