Trust Wallet 瀏覽器擴充功能爆資安漏洞,全球用戶損失逾 600 萬美元
鏈上偵探 ZachXBT 揭露,Trust Wallet 瀏覽器擴充功能在今日傳出資安事件,多名使用者在匯入助記詞後錢包瞬間被清空,總計損失金額超過 600 萬美元。他指出,此漏洞與 Chrome 瀏覽器擴充功能的特定版本更新有關,且涉及供應鏈攻擊跡象,呼籲用戶盡快升級。
Trust Wallet 用戶資金遭盜,Chrome 擴充功能更新成主因
昨日,大量 Trust Wallet 用戶陸續在社群媒體上反映錢包資金遭不明轉出,他們宣稱在擴充功能中輸入助記詞後,資金就會在幾分鐘內消失,其中甚至有用戶表示自己損失了 70 萬美元。
ZachXBT 根據眾多事件在時間上的重疊,推測漏洞源於 12 月 24 日 Trust Wallet Chrome 擴充功能 2.68 版本的更新。
廣告 - 內文未完請往下捲動
他表示,隨著受害者規模迅速擴大,被盜金額已超過 600 萬美元。
研究員拆解程式碼:新檔案搭配可疑網域導向,凸顯供應鏈攻擊疑雲
根據資安團隊 Epik 的分析,在 Trust Wallet Chrome 擴充的 2.68 版本中,發現名為 4482.js 的檔案中出現了一段未在更新紀錄中提及的程式碼。
其表面上聲稱是「分析功能」,但實際上可能在「匯入助記詞」的過程中觸發,並將資料傳送到一個可疑網域 metrics-trustwallet[.]com。該網域在幾天前註冊但現已下架,凸顯了供應鏈攻擊的可能性。
然而,這些結論仍來自第三方審計,真實情形仍待官方審計公布。
官方回應:僅影響 Chrome 擴充功能 2.68 版,呼籲升級修復
Trust Wallet 對此也在今晨發布公告,明確指出事件僅影響 Chrome 擴充功能 2.68 版本,建議所有用戶立即停用該版本,並呼籲升級修復後的 2.69 版本:
使用行動裝置的用戶以及所有其他瀏覽器的擴充功能版本均未受到影響,請認明官方 Chrome 線上應用程式商店連結進行下載。
雖然官方仍未公布事件的真實原因,但團隊表示已啟動內部調查並將持續更新。
自託管弱點浮現:密碼學很安全,但執行環境危機四伏
這起事件再度凸顯了加密貨幣自託管常被忽視的現實:密碼學本身很安全,但資金的損失不一定需要破解加密協議。
從私鑰與助記詞的保管、瀏覽器擴充功能、桌機與行動端軟體更新到惡意釣魚網址,加密世界的危機四伏,使得自託管用戶防不勝防。任何環節或執行環境存在漏洞,所有資產都可能瞬間被清空。
尤其對於基於瀏覽器的第三方擴充功能,用戶須注意「避免安裝不必要的瀏覽器擴充插件、將資金轉移至新建立或授權乾淨的安全錢包、忽略不明的復原或支援訊息」。
(資安公司慢霧揭露:Chrome 惡意擴充軟體盜取百萬美金真相)
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
