#钱包安全漏洞 Recientemente, Trust Wallet fue víctima de un robo de 6 millones de dólares, y revisando el análisis de SlowMist, el problema radica en que la versión 2.68 del plugin del navegador incorpora PostHog JS para recopilar información del usuario. Lo más preocupante es que la versión de reparación ni siquiera eliminó completamente esta función.

Esto me recuerda al incidente de la vulnerabilidad "Demonic" hace un par de años, cuando ya hubo personas que cayeron en la trampa. Ahora los problemas son cada vez más ocultos: no se trata solo de una vulnerabilidad en el código, sino de la recopilación de datos de la cartera en segundo plano sin que el usuario se dé cuenta.

Mi estrategia defensiva que he resumido recientemente es la siguiente: si tu cartera tiene algún problema, nunca operes en línea. Exporta la frase de recuperación en modo sin conexión y transfiere los activos, de lo contrario, los hackers podrían robarte en el momento en que abras la cartera. Además, una vez que hagas una copia de seguridad de la frase de recuperación, primero transfiere los activos antes de actualizar, ya que invertir el orden puede ser muy arriesgado.

Otro punto fácil de pasar por alto: la mayoría de los casos de robo no se deben a vulnerabilidades en el plugin en sí, sino a que los usuarios descargan versiones falsas o caen en phishing. Wallets como MetaMask y Phantom también han sido víctimas, y la tienda de Firefox estuvo en riesgo. La regla es simple: solo descarga desde la Chrome Web Store oficial, y elimina cualquier otra fuente.

Mantenerse activo en la cadena requiere pensar un paso más que los demás, especialmente en la seguridad de los activos, donde no hay margen para errores.