信任钱包证实 850 万美元供应链黑客攻击由泄露的 Chrome API 密钥引起
信任钱包证实 850 万美元供应链黑客攻击由泄露的 Chrome API 密钥引起
Trust Wallet 证实,圣诞节假期期间推送的恶意浏览器扩展更新导致约 850 万美元的用户资金被盗,这是 2025 年最严重的钱包供应链攻击事件之一。
在一份详细的事后更新中,该公司透露,攻击者利用了一个泄露的谷歌 Chrome 浏览器网络商店 API 密钥,使他们可以在不经过内部代码审查或安全检查的情况下,直接向 Chrome 浏览器商店上传受攻击的信任钱包扩展版本。
正在加载推文...
- 查看原帖
发生了什么
12 月 24 日至 12 月 26 日期间,安装了 2.68 版 Trust Wallet 浏览器扩展的用户在不知情的情况下下载了恶意软件。 社区的初步报告指出了可疑的数据流,Trust Wallet 现已确认这些数据流涉及恶意代码,其目的是外泄记忆种子短语。
恶意软件将出站数据伪装成常规分析流量,发送到攻击者控制的假域名(metrics-trustwallet.com)。由于更新是通过官方 Chrome 网上商城使用有效凭证发送的,因此绕过了典型的警告标志。
Trust Wallet 表示,他们 "高度确信 "此次事件与 2025 年 11 月的 "Sha1-Hulud "事件有关,该事件是一次全行业范围的供应链攻击,暴露了多个技术领域的开发者机密。该公司认为,此前的这次漏洞允许攻击者访问 Trust Wallet 的源代码和发布更新所需的特定 API 密钥。
财务影响和应对措施
该公司已确认 2520 个受影响的钱包地址,损失总额估计为 850 万美元。
此后,Trust Wallet 已
- 撤销受影响的证书,并退回到安全版本(v2.69)。
- 承诺自愿补偿所有符合条件的受害者,这在加密钱包领域是异常强烈的反应。
- 实施新的验证流程,以过滤掉成千上万的虚假索赔。
我们敦促安装了 2.68 版本的用户假定他们的钱包受到了威胁,立即转移资金,并在安全设备上重新生成种子短语。
重要原因
此次事件凸显了一个重要的全行业风险:即使应用程序代码是安全的,对分发密钥的控制也可能成为单点故障。
与传统的智能合约漏洞不同,这种攻击
- 不需要区块链漏洞。
- 通过可信基础设施(官方应用商店)直接瞄准终端用户。
- 时间选在通常监控较少的节假日期间。
安全专家指出,这次攻击的复杂程度表明,这是一次高度有组织的威胁行为,引发了整个行业对基于扩展的钱包和释放密钥管理的广泛关注。
用户现在应该做什么
- 确认你的扩展版本是 2.69 或更高。
- 如果曾经安装过 2.68 版本,请将钱包视为已损坏。
- 立即将资金转移到新生成的钱包。
- 如果您受到影响,请通过 Trust Wallet 官方支持渠道提交索赔。
本文所提供的内容仅用于信息和教育目的,不构成任何金融、投资或交易建议。您根据本文信息所采取的任何行动,风险自负。我们不对因使用本文内容而导致的任何财务损失、损害或后果承担责任。在做出投资决策前,请务必自行研究并咨询专业的金融顾问。 阅读更多
FBI Probes $250K Crypto Scam Targeting Trump Donor
July 7, 2025
Previous ArticlePayPal to Launch Its “Super App” For Crypto Soon
July 29, 2021
Next ArticleCora
相关文章
FBI Probes $250K Crypto Scam Targeting Trump Donor
By Alexandros
July 7, 2025 | 8 Mins read
PayPal to Launch Its “Super App” For Crypto Soon
By Bitcoinsensus Staff
July 29, 2021 | 2 Mins read
Cryptocurrency Studies to be Included in School Curricula in New York?
By Bitcoinsensus Staff
November 8, 2021 | 3 Mins read