Trust Wallet浏览器扩展遭恶意植入,用户资产面临严重威胁

近日,知名加密货币钱包Trust Wallet发布紧急安全通告,确认其浏览器扩展程序2.68.0版本存在严重安全漏洞。官方强烈建议所有用户立即停用该版本,并通过官方Chrome应用商店升级至已修复的2.69.0版本。此次事件已导致大量用户加密资产被盗,损失金额巨大。

事件损失规模与资金流向追踪

根据区块链安全公司派盾(PeckShield)的监测数据,攻击者利用此漏洞已从全球受害者处窃取了价值超过600万美元的数字资产。资金追踪显示:

  • 约280万美元的被盗资产仍滞留在攻击者控制的钱包地址中(涉及比特币、以太坊虚拟机链及Solana链)。
  • 超过400万美元的资金已被转移至多个中心化交易平台,意图进行洗钱操作,其中:
    • 约330万美元转入ChangeNOW
    • 约34万美元转入FixedFloat
    • 约44.7万美元转入Kucoin

安全审计揭示攻击手法:官方插件被植入数据窃取后门

随着受影响用户数量激增,多家安全机构对涉事版本的代码进行了紧急审计。慢雾科技(SlowMist)的安全专家通过对比2.68.0(恶意版本)与2.69.0(修复版本)的源代码,发现了攻击者精心设计的入侵痕迹。

分析表明,黑客在官方代码中植入了一段伪装成合法数据采集模块的恶意脚本。该脚本利用名为PostHog的JavaScript库作为掩护,实际上将用户的敏感信息(包括钱包助记词、私钥等)秘密传输至攻击者控制的服务器(api.metrics-trustwallet[.]com)。

攻击时间线与入侵路径推测

结合代码提交记录与链上交易活动,安全团队还原了此次攻击的预估时间线:

  • 12月08日: 攻击者开始进行前期准备工作,可能包括侦察、漏洞挖掘或权限获取。
  • 12月22日: 被植入后门代码的2.68.0版本通过官方渠道发布并上线。
  • 12月25日: 攻击者利用圣诞节假期用户警惕性可能降低的时机,开始大规模动用窃取的助记词转移资产,事件随后被曝光。

慢雾科技首席信息安全官23pds指出,攻击者对Trust Wallet扩展的代码结构非常熟悉,这强烈暗示Trust Wallet开发团队的相关人员设备或代码仓库可能已被攻击者控制。他建议受影响的用户务必先断开网络连接,再导出助记词并转移资产,以防在线状态下打开钱包即遭盗取。

加密货币钱包安全:历史案例与深层警示

此次Trust Wallet官方版本沦为黑客工具的事件,并非孤立案例。它揭示了加密货币生态中,尤其是热钱包和浏览器插件领域,长期存在的几类高危安全风险。

供应链攻击:当官方分发渠道失守

这类攻击最危险之处在于,用户遵循了所有“正确”的安全实践——从官方渠道下载软件——却依然成为受害者。

  • Ledger Connect Kit投毒事件(2023年12月): 硬件钱包商Ledger的NPM代码库遭入侵,恶意更新包被推送,导致多个去中心化应用的前端被污染。该事件是典型的软件供应链攻击,暴露了依赖Web2基础设施(如代码托管平台)的单点故障风险。
  • 历史扩展劫持案例: 早在2018年,Hola VPN的Chrome扩展开发者账号就曾被攻破,黑客推送的“官方更新”专门窃取MyEtherWallet用户的私钥。

代码实现缺陷:敏感信息的意外泄露

钱包软件自身在处理核心机密时的设计或编码错误,也可能造成灾难性后果。

  • Slope钱包日志争议(2022年8月): Solana生态发生大规模盗币事件,调查报告指出Slope钱包的某个版本曾将用户私钥或助记词明文发送至其内部监控服务,尽管事件的根本原因未被最终确认,但这引发了业界对钱包日志记录安全性的广泛担忧。
  • Trust Wallet过往漏洞(CVE-2023-31290): 该钱包扩展此前曾被披露存在随机数生成器熵值不足的漏洞,使得攻击者能够在一定范围内推算出受影响的钱包地址。

安全边界模糊化带来的挑战

当“李逵”(官方正版)也可能出现问题,“李鬼”(仿冒应用)就更加防不胜防。钓鱼网站、虚假浏览器插件、伪造的更新弹窗等灰色产业链一直存在。本次事件进一步压缩了用户的安全信任边界,很可能伴随出现利用用户恐慌心理的二次诈骗浪潮。

总结与安全建议

截至本文撰写时,Trust Wallet团队已紧急发布修复版本并持续敦促用户升级。然而,链上被盗资金的流动表明,事件的后续影响仍在持续。

从Slope钱包的日志泄露到此次Trust Wallet的供应链后门,历史教训不断重演。这为所有加密货币用户敲响了警钟:

  • 保持持续警惕: 不要无条件信任任何单一的软件或服务提供商。
  • 分散资产存储: 采用冷热钱包结合的方式管理大额资产,避免将所有资产集中于一个终端。
  • 审慎对待更新: 关注官方公告,对异常版本的更新保持警惕,但确认为安全更新后应及时应用。
  • 培养安全习惯: 定期检查钱包授权,使用硬件钱包进行关键操作,并时刻提防各类钓鱼手段。

在加密世界的“黑暗森林”中,多维度的防御意识和实践,是保护资产安全最为关键的生存法则。