本站报道:

12 月 25 日,区块链调查员 ZachXBT 发现了可能与最近一次更新有关的可疑活动,引发了 Trust Wallet 浏览器扩展程序的安全问题,并引起了开发者和安全相关账户的警告。

根据 X 上流传的帖子,该问题可能源于 12 月 24 日浏览器扩展程序更新中引入的疑似供应链漏洞。

该扩展程序中新增的代码可能会在用户导入助记词时悄悄窃取敏感的钱包数据。据称,这已导致用户钱包中的资金立即被盗空。

据称Trust Wallet存在恶意代码和数据泄露问题

开发者在检查该扩展程序时声称,更新中添加的 JavaScript 文件包含伪装成分析的逻辑。

据说,该代码会在导入助记词后激活。随后,它会将钱包相关数据传输到一个外部域名,该域名旨在模拟官方的Trust Wallet基础设施。

据报道,报道中提到的域名是几天前才注册的,目前已经下线。

研究人员认为,该漏洞的出现时间较近,且此次扩展程序的更新时间也引发了人们对协同供应链攻击而非用户端网络钓鱼的担忧。

用户报告称,导入种子后钱包资金被盗。

多用户有用户反映,在将助记词导入 Trust Wallet 浏览器扩展程序后不久,钱包里的钱就被清空了。

公开的估计数据显示,损失可能超过200万美元。尽管这些数字尚未得到独立核实。

分析人士指出,资金通过多个地址进行路由,这种模式通常与自动化攻击有关,而不是孤立的用户错误。

范围似乎仅限于浏览器扩展程序

目前尚无迹象表明 Trust Wallet 的移动应用程序受到影响。

网上流传的警告主要集中在浏览器扩展程序上。正是由于其更新机制和第三方依赖关系,才带来了更高的供应链风险。

在获得进一步说明之前,建议用户不要将助记词导入 Trust Wallet 浏览器扩展程序。

Trust Wallet尚未对此作出官方回应

截至发稿时,Trust Wallet 尚未就这些指控发布任何公开回应、澄清或安全公告。

目前尚未对这些说法进行证实或否认,也没有任何关于延期、回滚或紧急补丁的公告。

调查仍在进行中

研究人员强调,目前情况仍在积极调查中。在对扩展代码及相关链上活动进行全面审查之前,不应得出任何结论。

如果属实,这起事件将对供应链造成严重损害。

这种攻击与网络钓鱼或用户操作失误有着显著区别。而且,历史上它曾导致整个加密货币生态系统遭受迅速而大规模的损失。

最后想说的话

  • 这些指控表明,钱包扩展程序可能面临严重的供应链风险,凸显了代码更新一旦遭到破坏,就会成为重要的攻击途径。
  • 由于 Trust Wallet 尚未作出回应,用户和研究人员只能依靠独立调查,而对该事件的审查仍在继续。