12月25日,多位加密貨幣用戶報告其 Trust Wallet 瀏覽器擴充功能遭遇快速且未經授權的提款,引發社群即時警示。最初的報告由鏈上調查員 ZachXBT 提出,他在兩小時內標記了跨 EVM 兼容鏈、比特幣與 Solana 的數百個被入侵的地址。報告的損失金額突然激增——初步估計超過六百萬美元——在 Telegram 與 X 平台發出緊急警告,敦促所有用戶撤銷授權並提取資金。
社群研究人員迅速將 Trust Wallet 的 Chrome 擴充功能版本 2.68 鎖定為共同因素。對該擴充功能的 JavaScript 檔案進行調查,發現名為「4482.js」的未說明新增內容,與官方發布說明不符。偽裝成分析功能的可疑程式段,實際上能夠捕捉種子短語,將其傳送至 metrics-trustwallet[.]com,並在匯入種子短語時自動清空錢包。這個惡意有效負載僅在 wallet-import 事件時啟動,從而避開早期偵測。
隨後的鏈上追蹤分析顯示,超過六百萬美元的被盜資產透過隱私混洗器與混淆服務流出,凸顯攻擊者快速洗錢的意圖。受害地址涵蓋內部多簽帳戶、高價值個人錢包,以及小型散戶交易者,凸顯基於瀏覽器的錢包易受供應鏈攻擊之影響。亦觀察到來自 Tornado Cash 與 Wasabi Wallet 等主要混洗服務的提款/洗錢交易,顯示協同洗錢策略。
在公眾審視之後,Trust Wallet 發出官方公告,承認此安全事件僅影響擴充功能版本 2.68。公告建議立即停用該擴充功能,從官方 Chrome 線上商店升級至版本 2.69,並避免在瀏覽器環境匯入種子短語。行動裝置與非 Chrome 使用者未受到影響。Trust Wallet 強調,此次漏洞並未影響其核心行動應用程式或鏈上智慧合約。
該事件重新點燃了有關自我保管風險與操作安全性的辯論。專家重申,金鑰管理環境與密碼學協議同等重要,供應鏈完整性必須由錢包提供商與瀏覽器市場共同維護。作為即時預防措施,安全研究人員建議受影響用戶將餘下資產移轉至在安全且與網路隔離的裝置上新建的錢包,撤銷所有 dApp 授權,並監控網路活動以偵測可疑互動。
在這起攻擊事件之後,對標準化的擴充功能審核、透明的變更日誌,以及獨立審計的呼聲越來越高。區塊鏈安全公司與開源審計團體正攜手開發工具,以偵測常見錢包外掛中的異常客戶端程式碼。目前,Trust Wallet 事件成為一個鮮明的例子,說明供應鏈脆弱性可能削弱自我主權資產管控的承諾,促使社群在錢包設計與分發上優先考量端對端安全。
評論 (0)