知名加密货币钱包插件 Trust Wallet 近期疑似遭遇供应链攻击。攻击者通过某种方式攻陷该插件并植入恶意代码,专门窃取用户的恢复助记词。一旦获取助记词,攻击者便可恢复受害者的钱包,并将其中资产席卷一空。
截至本文撰写时,被盗加密货币价值已超 600 万美元,受影响用户规模或持续扩大。强烈建议所有使用该插件的用户,立即将资产转移至可信钱包中,以规避风险。区块链安全公司慢雾科技创始人余弦在社交平台发布了简要技术分析:
存在后门的版本为 v2.68.0,开发者紧急修复后推出的版本为 v2.69.0。代码对比结果显示,遭篡改的版本中植入了 PostHog 组件,用于收集钱包恢复助记词等高度敏感的用户数据,并将这些数据秘密传输至攻击者控制的服务器
hxxp://api.metrics-trustwallet.com。域名注册记录显示,该恶意域名于 2025 年 12 月 8 日完成注册,可见攻击者早已开始筹备。后门程序于 12 月 22 日成功植入,随后攻击者进入潜伏状态。直至 12 月 25 日圣诞节当天,才开始大肆转移资产。
攻击者选择在圣诞节发动攻击,大概率是经过精心算计的:在西方国家的节假日期间,Trust Wallet 团队和大量用户的安全警惕性都可能下降。这使得攻击者能够在漏洞被发现、补丁发布以及用户采取资产保护措施前,获得更长的时间窗口来转移资产。
此次事件的最终损失规模尚未完全统计。值得注意的是,这并非 Trust Wallet 首次遭遇安全事故。2022 年 11 月 14 日至 23 日期间,该时间段内创建的钱包曾因伪随机数生成机制存在缺陷,导致攻击者可推导得出私钥。
彼时相关事件造成的损失约为 17 万美元,金额相对较小,Trust Wallet 已对受害者进行全额赔付。而此次损失已超 600 万美元,用户能否获得全额赔偿,目前仍是未知数。
发表评论
您还未登录,请先登录。
登录