加密货币钱包Trust Wallet于 12 月 26 日星期五清晨证实,约 700 万美元的客户资金因一次安全漏洞而损失。此次黑客攻击与 Trust Wallet 的 Chrome 浏览器扩展程序的一次错误更新有关,此前有用户报告称,他们在疑似供应链攻击中蒙受了资金损失。
Trust Wallet 昨晚在X 论坛上首次确认了该漏洞,并表示此次问题仅影响 Trust Wallet 浏览器扩展程序 2.68 版本。用户被告知停止打开该扩展程序,将其关闭并升级到 2.69 版本。据团队称,移动用户和其他版本未受影响。
就在区块链侦探 ZachXBT在他的 Telegram 频道中报告称,几位 Trust Wallet 用户反映,在推送新的 Chrome 扩展程序更新后不久,他们的资金在几小时内被盗走几个小时后,警告就出现了。
用户将获得补偿
2018 年收购 Trust Wallet 的加密货币交易所币安创始人赵长鹏周四晚间在 X 论坛发帖透露,此次漏洞导致 700 万美元用户资金被盗,Trust Wallet 将对受影响的用户进行赔偿。
赵写道:“目前,此次黑客攻击已造成700万美元损失。Trust Wallet将承担赔偿责任。用户资金安全无虞。由此造成的不便,敬请谅解。”
区块链安全公司 SlowMist 在12 月 26 日的 X 论坛帖子中指出,此次攻击可能涉及直接篡改 Trust Wallet 自身的扩展代码,而不是篡改第三方库。
“v2.67 和 v2.68 之间的差异比较显示,恶意代码被秘密插入到 2.68 更新中。这段注入的代码会遍历扩展程序中存储的所有钱包,并触发每个钱包的助记词获取请求,”该安全公司写道。
据报道,攻击者使用合法的分析工具秘密地将数据发送到他们控制的服务器。
这并非Trust Wallet的浏览器扩展程序首次引发安全隐患。2023年,硬件钱包Ledger的首席技术官Charles Guillemet在X论坛上透露,Ledger的安全团队发现Trust Wallet的Chrome扩展程序存在一个“灾难性”漏洞,攻击者可能在无需用户交互的情况下盗取钱包资金。
当时,吉耶梅表示,该漏洞在被大规模利用之前就被发现了。
