Trust Wallet 於 700 萬美元 Chrome 擴充程式駭客攻擊後面臨大量詐欺索賠

執行長 Eowyn Chen 週一透露,Trust Wallet 從 12 月 24 日的駭客攻擊中識別出 2,596 個受損的錢包地址。然而,該公司收到了近 5,000 份索賠申請——這一差異顯示出廣泛的詐欺性提交。

「正因如此,準確驗證錢包所有權至關重要,以確保資金返還給正確的人,」Chen 表示。「我們的團隊正在努力驗證索賠;結合多個數據點來區分合法受害者和惡意行為者。」

實際受害者與總索賠數量之間的巨大差距迫使 Trust Wallet 放棄速度而優先考慮準確性,這標誌著今年最值得注意的加密貨幣安全事件之一的重大營運轉變。

攻擊如何展開

漏洞始於攻擊者獲得了一個洩露的 Chrome Web Store API 金鑰,使他們能夠繞過 Trust Wallet 的內部安全檢查。12 月 24 日下午 12:32(UTC +8 時間為晚上 8:32),受損的 Chrome 擴充功能版本 2.68 在 Google 官方商店上線。

根據區塊鏈安全公司 SlowMist 的分析,惡意程式碼被精心隱藏在一個名為 posthog-js 的修改過的分析庫中。當使用者解鎖他們的錢包時,該程式碼秘密提取了他們的助記詞——加密貨幣錢包的主金鑰——並將其發送到攻擊者控制的伺服器。

用於收集被盜數據的域名「api.metrics-trustwallet.com」於 12 月 8 日註冊,顯示該攻擊至少提前兩週進行規劃。加密貨幣調查員 ZachXBT 在聖誕節當天首次標記了這個問題,此前有數百名使用者報告錢包被清空。

來源:@EowynChen

Trust Wallet 於 12 月 25 日推送了修復版本 2.69。此漏洞僅影響在 12 月 26 日上午 11 時(UTC +8 時間為晚上 7 時)之前登入的 Chrome 擴充功能使用者。行動應用程式使用者和其他瀏覽器版本保持安全。

內部人員疑問

多位業界人士對攻擊中可能涉及內部人員表示擔憂。幣安聯合創始人趙長鵬(其公司擁有 Trust Wallet)表示,該漏洞「最有可能」是由內部人員執行的,儘管他沒有提供額外證據。

SlowMist 聯合創始人余弦指出,攻擊者展示了對擴充功能原始碼的詳細了解,並在執行盜竊前幾週就準備好了基礎設施。獲取並濫用 Chrome Web Store API 金鑰的能力顯示開發人員設備受損或部署權限被盜。

Chen 確認公司正在進行更廣泛的鑑識調查,同時進行賠償流程,但尚未確認是否涉及內部人員。

被盜資金和洗錢

此次攻擊導致多種加密貨幣損失約 700 萬美元,包括 BTC、ETH 和 SOL。區塊鏈安全公司 PeckShield 追蹤到超過 400 萬美元的被盜資金通過 ChangeNOW、FixedFloat 和 KuCoin 等中心化交易所流動。截至 12 月 26 日,約 280 萬美元仍存放在攻擊者控制的錢包中。

資金通過多個交易所和區塊鏈網路的快速流動使追回工作變得複雜,並使追蹤攻擊者更加困難。

賠償流程受到審查

幣安創始人趙長鵬承諾承擔所有經過驗證的損失,聲稱「使用者資金是 SAFU」——這是一個加密產業術語,意為「使用者資產安全基金」。然而,驗證流程變得比最初預期的更加複雜。

Trust Wallet 要求受影響的使用者通過官方支援表格提交詳細資訊,包括電子郵件地址、受損錢包地址、攻擊者地址和交易雜湊值。該公司強調,目前準確性優先於速度。

虛假索賠的激增突顯了加密貨幣安全事件中反覆出現的問題。雖然區塊鏈的透明性允許追蹤事件,但在沒有中心化記錄的情況下將錢包地址與經過驗證的使用者聯繫起來仍然具有挑戰性。當數百萬美元處於危險中時,這種緊張局勢變得尤為嚴重。

Chen 表示,團隊正在結合多種驗證方法來評估索賠,但沒有詳細說明所使用的具體標準。驗證階段標誌著 Trust Wallet 能否成功過濾詐欺性提交同時維持真正受害者信任的關鍵測試。

關於二次詐騙的警告

Trust Wallet 發布了關於詐騙者利用此情況的緊急警告。該公司報告發現通過 Telegram 廣告、冒充支援帳戶和要求提供私鑰或助記詞的直接訊息傳播的虛假賠償表格。

官方賠償流程絕不會要求密碼、私鑰或恢復短語。使用者只應通過 Trust Wallet 的驗證支援入口網站 trustwallet-support.freshdesk.com 提交索賠。任何其他聲稱提供賠償的通訊都應視為詐欺。

這波二次詐騙為已經處理被盜資金的受害者增加了另一層風險。該公司強調,使用者在採取任何行動之前應驗證所有通訊均來自官方 Trust Wallet 渠道。

更廣泛的安全影響

Trust Wallet 事件符合 2024 年針對加密貨幣使用者的供應鏈攻擊的更大模式。根據 Chainalysis 數據,2024 年加密貨幣盜竊達到 67.5 億美元,個人錢包受損數量從前一年的 64,000 個激增到 158,000 個。

瀏覽器擴充功能帶來了獨特的安全挑戰,因為它們以提升的權限運作並可以存取敏感的使用者數據。單個受損更新可以在數小時內影響數十萬使用者。

該事件還展示了薄弱的驗證流程如何將單一安全漏洞轉變為多個問題。Trust Wallet 現在必須投入大量資源來過濾虛假索賠,而真正的受害者則等待賠償。

根據其官方列表,Trust Wallet 的 Chrome 擴充功能約有一百萬使用者,儘管實際暴露程度取決於在易受攻擊的時間窗口內有多少人安裝了版本 2.68 並輸入了敏感數據。

前進之路

Trust Wallet 已採取多項措施來防止未來事件。該公司使所有發布 API 過期,以在接下來的兩週內阻止未經授權的版本更新。用於收集被盜數據的惡意域名已向其註冊商報告並迅速暫停。

然而,關於攻擊者如何獲得 Chrome Web Store API 金鑰以及是否會實施額外安全措施的問題仍然存在。正在進行的鑑識調查可能會提供答案,但 Trust Wallet 尚未宣布對其發布流程進行具體更改。

對於加密貨幣使用者來說,該事件強化了極其謹慎對待錢包更新的重要性。安全專家建議在安裝更新之前等待社群確認,並考慮為重要持有資產使用硬體錢包。

隨著 Trust Wallet 處理數千份索賠,賠償流程仍在繼續。該公司準確識別合法受害者同時阻止詐欺性提交的能力可能會影響其他錢包提供商如何處理未來的安全事件。

現實檢驗

Trust Wallet 漏洞暴露了加密貨幣安全中的兩個關鍵弱點:供應鏈攻擊可以繞過即使是精心設計的安全系統,而賠償流程本身也會成為詐欺的目標。當 Trust Wallet 為 2,596 名實際受害者驗證近 5,000 份索賠時,該事件提醒我們,在加密貨幣安全領域,善後處理可能與漏洞本身一樣具有挑戰性,代價高昂。