加密貨幣錢包Trust Wallet於 12 月 26 日星期五清晨證實,約 700 萬美元的客戶資金因一次安全漏洞而損失。此次黑客攻擊與 Trust Wallet 的 Chrome 瀏覽器擴展程序的一次錯誤更新有關,此前有用戶報告稱,他們在疑似供應鏈攻擊中蒙受了資金損失。
Trust Wallet 昨晚在X 論壇上首次確認了該漏洞,並表示此次問題僅影響 Trust Wallet 瀏覽器擴展程序 2.68 版本。用戶被告知停止打開該擴展程序,將其關閉並升級到 2.69 版本。據團隊稱,移動用戶和其他版本未受影響。
就在區塊鏈偵探 ZachXBT在他的 Telegram 頻道中報告稱,幾位 Trust Wallet 用戶反映,在推送新的 Chrome 擴展程序更新後不久,他們的資金在幾小時內被盜走幾個小時後,警告就出現了。
用戶將獲得補償
2018 年收購 Trust Wallet 的加密貨幣交易所幣安創始人趙長鵬週四晚間在 X 論壇發帖透露,此次漏洞導致 700 萬美元用戶資金被盜,Trust Wallet 將對受影響的用戶進行賠償。
趙寫道:“目前,此次黑客攻擊已造成700萬美元損失。Trust Wallet將承擔賠償責任。用戶資金安全無虞。由此造成的不便,敬請諒解。”
區塊鏈安全公司 SlowMist 在12 月 26 日的 X 論壇帖子中指出,此次攻擊可能涉及直接篡改 Trust Wallet 自身的擴展代碼,而不是篡改第三方庫。
“v2.67 和 v2.68 之間的差異比較顯示,惡意代碼被秘密插入到 2.68 更新中。這段注入的代碼會遍歷擴展程序中存儲的所有錢包,並觸發每個錢包的助記詞獲取請求,”該安全公司寫道。
據報道,攻擊者使用合法的分析工具秘密地將數據發送到他們控制的服務器。
這並非Trust Wallet的瀏覽器擴展程序首次引發安全隱患。2023年,硬件錢包Ledger的首席技術官Charles Guillemet在X論壇上透露,Ledger的安全團隊發現Trust Wallet的Chrome擴展程序存在一個“災難性”漏洞,攻擊者可能在無需用戶交互的情況下盜取錢包資金。
當時,吉耶梅表示,該漏洞在被大規模利用之前就被發現了。
