#钱包安全漏洞 Récemment, Trust Wallet a été victime d'un vol massif de 6 millions de dollars, et j'ai examiné attentivement l'analyse de Slowmist — le problème provient de l'injection de PostHog JS pour collecter les informations des utilisateurs dans la version 2.68 du plugin navigateur, et le plus frustrant est que la version corrigée n'a pas complètement supprimé cette fonctionnalité.

Cela me rappelle l'incident de vulnérabilité "Demonic" d'il y a deux ans, quand certains ont déjà subi des pertes. Maintenant, les problèmes deviennent de plus en plus discrets : ce n'est pas simplement une faille de code, mais une collecte de données de portefeuille en arrière-plan à votre insu.

J'ai récemment résumé mes mesures défensives comme suit — si votre portefeuille rencontre un problème, n'opérez jamais en ligne. Déconnectez-vous, exportez votre phrase de récupération hors ligne, puis transférez vos actifs. Sinon, les pirates pourraient vous voler vos fonds au moment même où vous ouvrez le portefeuille. De plus, une fois que votre phrase de récupération est sauvegardée, vous devez transférer vos actifs avant de mettre à jour. L'ordre inverse présente un risque énorme.

Il y a aussi un point souvent négligé : la plupart des cas de vol ne sont pas vraiment dus aux bugs du plugin lui-même, mais plutôt au téléchargement de versions contrefaites ou à des attaques par hameçonnage. MetaMask, Phantom et autres portefeuilles de premier plan ont tous été touchés, et le Chrome Web Store de Firefox a été compromis à un moment donné. La règle est donc simple — téléchargez uniquement depuis le Chrome Web Store officiel, interdisez tous les autres canaux.

Pour rester longtemps dans cet écosystème, il faut avoir une longueur d'avance, surtout en matière de sécurité des actifs où il n'y a pas droit à l'erreur.