12月25日,Trust Wallet瀏覽器擴充功能出現安全疑慮,區塊鏈調查員ZachXBT標記了可能與近期更新有關的可疑活動,促使開發者和安全相關帳戶發出警告。
根據在X上流傳的貼文,該問題可能源於12月24日瀏覽器擴充功能更新中引入的疑似供應鏈攻擊。
擴充功能中新增的程式碼可能在使用者匯入助記詞時,悄悄竊取敏感的錢包資料。這些聲稱表明,這已導致錢包立即被盜。
涉嫌Trust Wallet惡意程式碼和資料竊取的聲稱
檢查該擴充功能的開發者聲稱,更新中新增的JavaScript檔案包含偽裝成分析功能的邏輯。
據稱該程式碼專門在匯入助記詞時啟動。然後悄悄將錢包相關資料傳輸到設計成類似Trust Wallet官方基礎設施的外部域名。
報告中提到的域名據稱僅在幾天前註冊,目前已離線。
研究人員認為,其近期創建的時間和擴充功能更新的時機引發了對協同供應鏈攻擊的擔憂,而非使用者端的釣魚攻擊。
使用者回報匯入助記詞後錢包被盜
多位使用者回報在將助記詞匯入Trust Wallet瀏覽器擴充功能後不久,錢包即被盜。
公開分享的估計顯示,可能損失超過200萬美元。儘管這些數字尚未得到獨立驗證。
分析師指出,資金通過多個地址轉移,這種模式更常與自動化攻擊有關,而非單獨的使用者錯誤。
影響範圍似乎僅限於瀏覽器擴充功能
目前沒有跡象顯示Trust Wallet的行動應用程式受到影響。
線上流傳的警告專門針對瀏覽器擴充功能。這是更新機制和第三方依賴項呈現較高供應鏈風險的地方。
建議使用者在獲得進一步說明之前,不要將助記詞匯入Trust Wallet瀏覽器擴充功能。
Trust Wallet尚未發布官方回應
截至撰寫本文時,Trust Wallet尚未發布任何公開回應、說明或針對這些指控的安全公告。
既沒有確認也沒有否認這些聲稱,也沒有宣布任何擴充功能回溯或緊急修補程式。
調查持續進行中
研究人員強調,情況仍在積極調查中。在擴充功能程式碼和相關鏈上活動得到全面審查之前,不應得出結論。
如果得到確認,該事件將代表嚴重的供應鏈攻擊。
這是一類與釣魚或使用者端錯誤截然不同的攻擊。此外,歷史上它曾在加密貨幣生態系統中造成快速、大規模的損失。
最終想法
- 這些指控指向影響錢包擴充功能的潛在嚴重供應鏈風險,凸顯出程式碼更新在遭到入侵時如何成為關鍵攻擊向量。
- 由於Trust Wallet尚未做出回應,使用者和研究人員只能依賴獨立調查,而對該事件的審查仍在繼續。
來源:https://ambcrypto.com/zachxbt-flags-suspected-trust-wallet-extension-issue-as-users-report-drained-funds/
