事件概覽
在2025年12月26日,出現 Trust Wallet 的 Chrome 瀏覽器外掛(版本 2.68)遭到大量未經授權提款的報告。在一次例行更新後的數小時內,攻擊者在該外掛中部署惡意程式,悄悄獲取種子短語與私鑰。受害者報告跨多條鏈的資金突然被提走,初步的鏈上分析顯示損失約為 700 萬美元。
攻擊向量與時間軸
- 2025年12月24日:版本 2.68 透過 Chrome 線上商店發布。
- 2025年12月26日 00:15 UTC:區塊鏈偵探 ZachXBT 在觀察到來自多個錢包的資金快速移動後,向社群發出警示。
- 2025年12月26日 02:00 UTC:PeckShield 確認盜取超過 6 百萬美元,約 40% 的被竊資產透過集中式交易所洗錢。
- 2025年12月26日 04:30 UTC:Trust Wallet 發出公告,建議停用版本 2.68 並升級至已修補的 2.69。
- 2025年12月26日 07:42 UTC:Trust Wallet 確認總損失約 700 萬美元,並承諾對用戶進行全面賠償。
技術分析
攻擊者透過向外掛核心腳本中注入 PostHog JS 監測工具,植入供應鏈後門,實現對解密後的種子短語和私鑰資料的實時外洩至惡意端點。鏈上聚類顯示被竊資產被分散於比特幣、以太坊、索拉納以及其他與 EVM 兼容的代幣,贓款集中於少數提款地址後再分送至交易所換成法幣。
緩解與因應
Trust Wallet 發布了 2.69 版本,移除了惡意程式碼並輪換外掛更新中使用的關鍵簽名。受影響的使用者被建議撤銷外掛權限,將剩餘資產轉移到新的錢包,並在可用時啟用雙因素驗證。幣安創辦人趙長鵬(CZ)公開保證在 SAFU 基金下賠償。獨立安全公司正在審核程式碼庫並監控是否存在殘留漏洞。
更廣泛的影響
此事件凸顯了圍繞瀏覽器型錢包外掛的風險日益升高。與硬體錢包或完全獨立的桌面客戶端不同,瀏覽器外掛在瀏覽器的安全範圍內運作,攻擊面因此增大。專家建議使用硬體錢包或帳戶抽象化解決方案,這些解決方案能強制交易延遲,並在代碼層變更時要求用戶明確批准。
關鍵要點
- 供應鏈妥協可能直接將惡意程式注入到合法軟體更新中。
- 快速的警告與修補發布,以及公開的賠償保證,是損害控制的關鍵。
- 瀏覽器外掛環境仍然脆弱;資金較大的使用者應考慮使用硬體錢包或多簽等替代方案。
評論 (0)