交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
事件概述
Trust Wallet确认其浏览器扩展程序因更新版本存在安全漏洞,导致约700万美元加密货币被盗。此次事件仅影响12月24日发布的Chrome扩展程序2.68版本,移动端钱包用户未受影响。作为Trust Wallet母公司的币安创始人赵长鹏表示,将全额赔付受影响用户,并强调用户资金始终处于安全保护状态。
事件经过
区块链调查机构ZachXBT于12月25日首次发现异常,当时陆续收到用户资金快速转出的报告。资金流失发生在扩展程序更新后数小时内,暗示存在供应链攻击。安全公司SlowMist分析发现,恶意代码被直接注入钱包源代码而非通过第三方库,后门程序会在用户解锁钱包时收集加密助记词,并将数据传送至攻击者于12月8日注册的域名。分析显示攻击者至少提前两周进行了准备工作。
被盗资产包括比特币、以太坊及多链资产,个别用户在登录钱包数分钟内损失超过30万美元。Trust Wallet已紧急要求用户停用2.68版本,并通过官方商店升级至修复版本2.69。
安全启示
本次事件凸显了浏览器加密货币钱包持续存在的安全隐患。与针对个人用户的钓鱼攻击不同,此次攻击直接渗透官方分发渠道,影响了遵循安全规范的用户。2024年以来针对加密基础设施的供应链攻击显著增加,截至12月初行业被盗金额已超34.1亿美元。
这是Trust Wallet浏览器扩展程序第二次出现重大安全问题。2023年硬件钱包制造商Ledger曾发现其扩展程序存在关键漏洞,可能使攻击者无需用户交互即可转移资产。尽管该漏洞在大规模利用前已被修复,但最新事件再次表明:对于大额资产存储,离线保存私钥的硬件钱包仍是更安全的选择。浏览器扩展需要广泛的系统权限,其安全性既取决于代码质量也受用户设备状态影响,存在多重攻击面。
