loading...
12月25日,知名区块链调查员ZachXBT披露,Trust Wallet浏览器扩展程序近期更新中疑似引入供应链漏洞,引发对用户资产安全的广泛担忧。这一事件迅速在加密社区引发关注,成为当前最受关注的网络安全议题之一。
据社交媒体平台X上的信息显示,问题源于12月24日发布的浏览器扩展程序更新。安全研究人员在审查代码时发现,新增的JavaScript文件内嵌了伪装成分析工具的恶意逻辑。该代码会在用户导入助记词后激活,并将钱包相关数据发送至一个外部域名。
值得注意的是,该域名注册时间极短,且其结构与Trust Wallet官方基础设施高度相似,具有明显的仿冒特征。目前该域名已被关停,但其短暂上线期间可能已收集大量敏感信息。
专家指出,此次事件并非典型网络钓鱼,而是典型的供应链攻击表现形式。攻击者通过篡改合法软件更新流程,在不触发用户警报的情况下完成数据窃取,这使得防御难度显著提升。
多位用户在社交平台反映,导入助记词后不久即发现钱包余额清零。初步链上分析显示,被盗资金通过多个跳转地址进行转移,这种操作模式符合自动化攻击特征,排除了单一用户误操作的可能性。
尽管具体金额尚未完全核实,但公开估算表明损失总额可能超过200万美元。这一数字若属实,将成为近年来影响范围较广的单起钱包安全事件。
该事件再次凸显了“资产存储”环节在去中心化生态中的脆弱性,尤其是在依赖第三方扩展程序的场景下。
截至目前,未有证据显示Trust Wallet移动应用受到波及。所有警告和报告均集中于浏览器扩展程序。由于其自动更新机制及对第三方库的依赖,浏览器端更易成为攻击入口。
研究人员认为,此类漏洞暴露了当前大多数钱包工具在发布流程中的安全盲区。建议用户暂时避免使用该扩展程序导入助记词,以降低风险。
截至发稿,Trust Wallet团队未发布任何声明、澄清或安全公告。既无延期更新通知,也未提及回滚或紧急补丁计划。这一沉默状态加剧了社区对事件真实性的质疑。
在缺乏官方信息的情况下,用户只能依赖独立调查结果。这也反映出企业在面对重大安全事件时信息披露的重要性。
多方团队正在对扩展程序源码、部署记录以及链上交易路径进行深度分析。一旦确认恶意代码来源,或将揭示更复杂的攻击链条。
若指控属实,此事件将被视为一次典型的“供应链攻击”案例,其影响不仅限于个别用户,更可能动摇公众对钱包生态的信任基础。
未来,如何加强代码签名验证、引入透明审计机制,将成为行业亟需解决的问题。
978
512
823
160
855
650
572
621
364
414
