据网络安全公司慢雾称,恶意 Trust Wallet扩展还会导出用户的个人数据,引发了人们对内幕交易的怀疑。
Trust Wallet 用户在圣诞节当天遭遇了一起安全挖矿,损失约 700 万镁。据信,该漏洞早在 12 月初就已开始策划。Trust Wallet 周四在 X 论坛上发布的公告称,此次安全事件影响了桌面用户,涉及 Trust Wallet 浏览器扩展程序的 2.68 版本;该项目建议用户升级至 2.89 版本。
周五,币安联创赵长鹏在 X 网站上发表博文称,损失的资金将得到补偿。币安是 Trust Wallet 的母公司,声称拥有 2.2 亿用户。
加密货币钱包挖矿正日益成为数字资产投资者面临的威胁。据Chainalysis 预测,若不计入今年 2 月Bybit14 亿镁的损失,到 2025 年,个人钱包被盗事件造成的损失将占所有被盗金额的 37%。
然而,Trust Wallet 损失的 700 万镁与其他重大钱包被盗事件相比仍然小得多。2024 年 2 月,游戏Axie Infinity的联创Jeff Zirlin因疑似钱包挖矿损失了价值 970 万镁的以太币。
Trust Wallet挖矿事件后,怀疑是内部人员入侵所致。
慢雾联创余贤周五在X上发文称,攻击者至少从12月8日起就开始准备。他的帖子经机器翻译后内容如下:
“攻击者至少从[12月8日]就开始准备,于[12月22日]成功安装了后门,于[圣诞节]开始转移资金,随后被发现。”
后门代码还会收集用户的个人信息并将其发送到攻击者的服务器。
据链上调查员ZachXBT称,数百名 Trust Wallet 用户受到了影响。
一些业内观察人士指出,有迹象表明可能存在内部人员活动,因为攻击者可能已将新版本的 Trust Wallet 工具上传到该网站。“这种类型的‘黑客攻击’并非自然发生。内部人员活动的可能性很高,”政府间区块链顾问安迪·连在 X 上写道。
慢雾也认同此次事件“极有可能”是由内部人员造成的。SlowMist 的冼先生补充说,攻击者“非常熟悉 Trust Wallet 工具的源代码”,这使得他们能够部署后门来收集敏感的用户数据。
