**發生了什麼:** 區塊鏈研究人員和用戶在本週記錄到一場大規模資金損失,與一個流行的非托管錢包瀏覽器擴展的某個版本有關。根據分析師的初步估計,損失超過 $6 百萬美元,涉及多個區塊鏈,受影響的錢包數量達到數百個。公司迅速做出反應,刪除有問題的版本並發布了緊急修復。## Trust Wallet 擴展:安全性竟然如此脆弱公司正式宣布發現一個嚴重的安全漏洞,僅影響版本 2.68 的瀏覽器擴展。問題迫使他們緊急停用該擴展並推出版本 2.69 的更新,該版本可通過官方 Chrome Web Store 下載。值得注意的是,該漏洞未影響:- 行動版錢包用戶- 其他版本桌面用戶- 平台的核心基礎設施公司指示用戶立即停止使用 2.68 版本,並在安裝修復前避免打開擴展。## 小偷在授權後立即盜取資金第一個問題線索來自獨立研究人員,他們注意到用戶在 Chrome 擴展中最近互動後,資產出現異常轉移。受害者反映,他們的資金在授權操作後立即被轉出。盜竊行為涉及多個區塊鏈:- 以太坊及 EVM 兼容網絡- Solana- 比特幣版本 2.68 發布與盜竊行為的時間接近,顯示出直接的因果關係。儘管 Trust Wallet 未公布具體金額,研究人員已發現約百個帳戶有異常支出。## 懷疑鏈上被攻破安全專家推測,可能在開發或傳播版本 2.68 時被植入惡意程式碼。如果攻擊者成功影響了擴展的收集或傳播階段,他們就能攔截關鍵操作,如簽署交易或確認會話。這一理論與用戶觀察到的匿名轉帳相符,這些轉帳發送到未知地址,沒有其他明顯異常。Trust Wallet 表示已展開調查,並承諾稍後公布更多細節。## 用戶應採取的行動錢包建議立即採取以下措施:- 在 Chrome 中停用 Trust Wallet 擴展- 啟用開發者模式- 強制升級到版本 2.69- 在繼續使用前確認版本號公司強調,請務必只通過官方 Chrome 商店下載更新,避免使用非官方渠道。## 加密錢包的系統性漏洞此事件揭示了一個更深層次的問題:即使是自我托管錢包,只要傳播渠道受到破壞,也可能成為攻擊目標。瀏覽器擴展具有特殊風險:- 直接存取私鑰和簽署請求- 在釣魚和惡意腳本的環境中運行- 需要頻繁更新,增加攻擊面與智能合約漏洞不同,錢包被攻破不涉及鏈上機制,損失無法逆轉。考慮到 Trust Wallet 在全球擁有超過 2.2 億用戶,即使問題僅限於某一版本,也會產生長遠的聲譽影響。
Trust Wallet 擴展的嚴重漏洞:$6 百萬加密資產陷入危險,以及為何版本 2.69 變得迫在眉睫
發生了什麼:
區塊鏈研究人員和用戶在本週記錄到一場大規模資金損失,與一個流行的非托管錢包瀏覽器擴展的某個版本有關。根據分析師的初步估計,損失超過 $6 百萬美元,涉及多個區塊鏈,受影響的錢包數量達到數百個。公司迅速做出反應,刪除有問題的版本並發布了緊急修復。
Trust Wallet 擴展:安全性竟然如此脆弱
公司正式宣布發現一個嚴重的安全漏洞,僅影響版本 2.68 的瀏覽器擴展。問題迫使他們緊急停用該擴展並推出版本 2.69 的更新,該版本可通過官方 Chrome Web Store 下載。
值得注意的是,該漏洞未影響:
公司指示用戶立即停止使用 2.68 版本,並在安裝修復前避免打開擴展。
小偷在授權後立即盜取資金
第一個問題線索來自獨立研究人員,他們注意到用戶在 Chrome 擴展中最近互動後,資產出現異常轉移。受害者反映,他們的資金在授權操作後立即被轉出。
盜竊行為涉及多個區塊鏈:
版本 2.68 發布與盜竊行為的時間接近,顯示出直接的因果關係。儘管 Trust Wallet 未公布具體金額,研究人員已發現約百個帳戶有異常支出。
懷疑鏈上被攻破
安全專家推測,可能在開發或傳播版本 2.68 時被植入惡意程式碼。如果攻擊者成功影響了擴展的收集或傳播階段,他們就能攔截關鍵操作,如簽署交易或確認會話。
這一理論與用戶觀察到的匿名轉帳相符,這些轉帳發送到未知地址,沒有其他明顯異常。Trust Wallet 表示已展開調查,並承諾稍後公布更多細節。
用戶應採取的行動
錢包建議立即採取以下措施:
公司強調,請務必只通過官方 Chrome 商店下載更新,避免使用非官方渠道。
加密錢包的系統性漏洞
此事件揭示了一個更深層次的問題:即使是自我托管錢包,只要傳播渠道受到破壞,也可能成為攻擊目標。瀏覽器擴展具有特殊風險:
與智能合約漏洞不同,錢包被攻破不涉及鏈上機制,損失無法逆轉。考慮到 Trust Wallet 在全球擁有超過 2.2 億用戶,即使問題僅限於某一版本,也會產生長遠的聲譽影響。