事件概述
Trust Wallet的Chrome浏览器扩展程序(版本2.68)遭遇一起精心策划的安全攻击。攻击者提前数周部署,于圣诞节期间触发漏洞,导致约700万美元被盗,数百名桌面用户受影响。移动钱包用户未受影响。
攻击详情
此次攻击并非利用突发漏洞,而是通过被篡改的扩展程序更新植入后门。恶意代码能收集用户数据并传输至攻击者控制的服务器。安全公司SlowMist指出,攻击者在12月初开始准备,圣诞节前几天植入后门,待条件成熟后执行盗窃。
影响与应对
- 损失规模:约700万美元,影响数百个个人钱包。
- 调查发现:区块链调查员ZachXBT确认资金转移模式一致,属于协同攻击。
- 官方回应:Trust Wallet母公司币安承诺对受影响用户进行全额赔偿。
安全疑虑与行业警示
攻击者对代码库的熟悉程度引发内部人员参与的猜测。此事件也反映出安全威胁正从交易所转向浏览器扩展程序和个人钱包等软件层。Chainalysis预测,2025年个人钱包被盗造成的损失占比将显著上升。
