Trust Wallet 官方证实,12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码,已造成约 700 万美元的加密资产失窃。
币安创始人赵长鹏(CZ)在 X 平台发文称:“截至目前,此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付,用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。”
与此同时,BleepingComputer 发现攻击者趁火打劫,注册钓鱼域名,假借“漏洞修复”之名继续洗劫受害用户钱包。
平安夜更新后钱包被掏空
12 月 24 日起,大量用户在社交媒体反映,刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认,这起供应链攻击至少造成 700 万美元损失。
Trust Wallet 是一款热门非托管钱包,支持移动端与 Chrome 浏览器扩展,用于管理多链资产并与 dApp 交互。
早先有用户发帖:“越来越多人抱怨,浏览器扩展一授权,钱就消失了……损失已超 200 万美元?”
安全分析师 Akinator 提醒:“在官方结论出炉前,请立即停用 Trust Wallet Chrome 扩展。”
BleepingComputer 确认,Trust Wallet 于 12 月 24 日发布了 2.68.0 版本,随后钱包被盗报告激增。舆论发酵后,Trust Wallet 悄然在 Chrome 商店推送 2.69 版。
研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码:“新版偷偷加入了一段‘分析’代码,一旦导入助记词,就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册,现已无法访问。
安全研究员 Andrew Mohawk 最初持怀疑态度,最终证实该接口确实用于窃取密钥。
WHOIS 显示,metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同,极可能由同一团伙操控。
官方确认安全事件
昨晚,Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”,呼吁用户立即升级至 2.69。对于受影响人数及具体损失,官方尚未回应媒体问询。
钓鱼网站趁火打劫
恐慌期间,多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网,声称“修复漏洞”,实则弹窗索要助记词。一旦输入,攻击者可立即转走全部资产。
用户应立即执行以下操作
- 若未升级,切勿打开桌面端扩展。
- 在浏览器地址栏输入:
chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph - 关闭 Trust Wallet 扩展开关。
- 打开右上角“开发者模式”。
- 点击左上角“更新”按钮,确保版本号为 2.69。
- 若怀疑已泄露,立即新建钱包并转移剩余资产,旧助记词永久作废。
Trust Wallet 表示客服已主动联系受损用户,其他问题可提交至:
https://twtholders.trustwallet.com
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容