- Trust Wallet 2.68 版本擴充功能在 12 月 24 日更新後涉嫌供應鏈遭入侵。
- 用戶反映匯入助記詞後錢包資金遭盜用;損失估計超過 600 萬美元。
- Trust Wallet 確認問題,建議更新至 2.69 版本;行動應用程式未受影響。
Trust Wallet 瀏覽器擴充功能近期爆發安全疑慮,有報導指出最近的更新可能導致未經授權的存取和錢包資金盜用,引發區塊鏈調查人員和安全導向開發者的警告。此事件聚焦於擴充功能的 2.68 版本,該版本後來獲得 Trust Wallet 確認。
問題在區塊鏈調查員 ZachXBT 發出通知後浮現,他表示收到數百名用戶的訊息,聲稱在瀏覽器擴充功能中匯入助記詞後,錢包餘額減少了。
根據開發者發布的技術審查,12 月 24 日發布的瀏覽器擴充功能更新可能透過疑似供應鏈入侵導致惡意程式碼植入。
研究更新的調查人員聲稱,擴充功能中嵌入了一個新增的 JavaScript 檔案,且顯然偽裝成分析功能。據報導,該檔案僅在匯入助記詞時啟動,隨後將與錢包相關的敏感資料傳輸至一個模仿 Trust Wallet 官方基礎架構設計的外部網域。
潛在供應鏈入侵的跡象
報告中提到的外部網域在事件發生前僅註冊幾天,後來便下線了。分析師指出,網域的近期建立時間結合更新時機引發擔憂,認為此事件可能是針對供應鏈的協調攻擊結果,而非孤立的網路釣魚嘗試或用戶錯誤。
社群研究人員引用的鏈上分析顯示,被盜資金流經多個地址。他們表示,這種模式通常與自動化利用方法相關。網路上發布的公開估計顯示,損失可能超過 600 萬美元,儘管這些數字尚未獲得獨立驗證。
Trust Wallet 確認範圍並發布修復程式
隨後在 12 月 25 日,Trust Wallet 確認安全事件僅限於 2.68 版本的瀏覽器擴充功能。公司在聲明中建議用戶立即停用此版本並更新至 2.69 版本,稱該版本包含修復程式。Trust Wallet 補充說明,其他版本的瀏覽器擴充功能和所有行動應用程式均未受影響。
公司也表示,其客服團隊已開始聯繫受影響用戶並調查此事件。未提供有關技術原因或可能賠償的詳細資訊。
相關:Trust Wallet 在資料同步故障後恢復餘額;資金安全無虞
免責聲明: 本文所提供的資訊僅供參考和教育目的。本文不構成財務建議或任何形式的建議。Coin Edition 對因使用所提及的內容、產品或服務而產生的任何損失概不負責。建議讀者在採取與公司相關的任何行動前謹慎行事。
來源: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
