概覽
Trust Wallet 已證實,一起透過被入侵的 Chrome 擴充功能更新所造成的供應鏈攻擊,導致損失約為 850 萬美元。洩漏的 Google Chrome 線上商店 API 金鑰使攻擊者能直接將惡意版本的 Trust Wallet 瀏覽器擴充功能發布到官方商店,繞過程式審查與安全檢查。
攻擊詳情
- 攻擊時段:2025 年 12 月 24 日至 26 日
- 擴充功能版本:2.68
- 受害者數量:2,520 個錢包地址
- 方法:偽裝成分析流量的惡意程式碼,指向虛假網域 metrics-trustwallet[.]com
技術分析
供應鏈攻擊類型:金鑰妥協。與典型的智慧合約漏洞不同,此事件針對發布機制。用於發布擴充功能的私有憑證被洩露,使得能將外洩資料的程式碼注入至發布流程中。未利用任何鏈上漏洞;終端使用者透過受信任的基礎設施成為攻擊目標。
因應措施
- 立即撤回被妥協的 API 憑證。
- 回滾至安全的擴充功能版本 2.69。
- 在發布系統上實施增強型發布金鑰管理與多因素驗證。
- 對符合資格的受害者提供全額賠償,涵蓋全部損失。
產業影響
關鍵基礎設施元素,如分發金鑰,代表單點故障。基於擴充功能的錢包應採取嚴格的憑證輪換、發佈商帳戶監控,以及帶外簽名,以降低類似風險。安全團隊必須將供應鏈向量與智慧合約審計同等優先考量。
使用者建議
已安裝版本 2.68 的使用者必須假設已遭妥協,將資金移至在安全裝置上產生的新錢包,並重新產生種子短語。必須驗證擴充功能版本並更新至 v2.69 或更高版本。賠償申請應透過官方 Trust Wallet 支援管道提交。
評論 (0)