- Trust Wallet 扩展程序版本 2.68 在 12 月 24 日更新后涉嫌供应链遭受攻击。
- 用户报告在导入助记词后钱包被盗;损失估计超过 600 万美元。
- Trust Wallet 确认问题,建议更新至版本 2.69;手机应用程序未受影响。
Trust Wallet 浏览器扩展程序的安全问题在最近更新后出现,涉及可能的未经授权访问和钱包被盗,引发了区块链研究人员和注重安全的开发人员的警告。该事件将注意力集中在扩展程序的 2.68 版本上,Trust Wallet 后来证实了这一点。
问题源于区块链调查员 ZachXBT 的通知,他报告称收到数百名用户的消息,这些用户声称在将助记词导入浏览器扩展程序后,他们的钱包余额减少了。
根据开发人员发布的技术审查,12 月 24 日发布的浏览器扩展程序更新可能通过涉嫌供应链攻击导致恶意代码的植入。
研究更新的研究人员声称,扩展程序中嵌入了一个新添加的 JavaScript 文件,显然伪装成分析功能。据报道,该文件仅在导入助记词时激活,然后将与钱包相关的敏感数据传输到一个模仿 Trust Wallet 官方基础设施的外部域名。
潜在供应链攻击的指标
报告中提到的外部域名在事件发生前几天才注册,后来下线。分析师指出,域名的最近创建与更新时间相结合,引发了人们的担忧,即该事件可能是针对供应链的协调攻击的结果,而不是孤立的网络钓鱼尝试或用户错误。
社区研究人员引用的链上分析显示,被盗资金通过多个地址流转。据他们称,这种模式通常与自动化利用方法相关。在线发布的公开估计表明,损失可能超过 600 万美元,尽管这些数字尚未得到独立证实。
Trust Wallet 确认范围并发布修复
后来,在 12 月 25 日,Trust Wallet 确认安全事件仅限于浏览器扩展程序版本 2.68。该公司在声明中建议用户立即禁用此版本并更新至版本 2.69,据称该版本包含修复程序。Trust Wallet 补充说,其他版本的浏览器扩展程序和其手机应用程序均未受到影响。
该公司还表示,其支持服务已开始联系受影响的用户并正在调查该事件。未提供有关技术原因或可能赔偿的详细信息。
相关: Trust Wallet 在数据同步故障后恢复余额;资金安全
免责声明: 本文所提供的信息仅供参考和教育目的。本文不构成财务建议或任何形式的建议。Coin Edition 对因使用所提及的内容、产品或服务而造成的任何损失概不负责。建议读者在采取与公司相关的任何行动之前谨慎行事。
来源: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
