Trust Wallet 創辦人、CZ 承諾退還聖誕節遭駭客攻擊損失的 700 萬美元

Trust Wallet 承諾將賠償聖誕節當天漏洞攻擊中損失的約 700 萬美元客戶資金,其創辦人趙長鵬在社交平台 X 上證實了這一消息。這起突發的安全漏洞震驚了部分加密貨幣社群。儘管如此,趙長鵬的迅速保證旨在穩定人心,並恢復對這款熱門自託管錢包的信心。

該事件發生在 12 月 25 日,當時一個被篡改的 Trust Wallet 瀏覽器擴充程式版本被用來盜取使用者錢包中的資產。

初步調查顯示,惡意程式碼在擴充程式的 2.68 版本中處於活躍狀態,導致跨多個區塊鏈進行未經授權的轉帳,包括 Ethereum、Bitcoin 和 Solana。在數小時內,鏈上數據顯示資金被轉移到未知地址,損失迅速接近 700 萬美元。

趙長鵬週五在 X 上發文強調「使用者資金是 SAFU」,使用了加密貨幣行業流行的「使用者資產安全基金」(Secure Asset Fund for Users)縮寫。他表示 Trust Wallet 將賠償受影響使用者的損失。團隊正在持續調查攻擊者究竟是如何能夠上傳和發布被篡改的擴充程式。

該錢包供應商還表示,此次漏洞僅限於瀏覽器擴充程式。Trust Wallet 敦促使用者立即停用被篡改的版本,並更新至已修復的 2.69 版本,該版本可透過官方 Chrome 線上應用程式商店取得。

據報導,行動應用程式使用者和使用其他擴充程式版本的使用者未受影響。

Trust Wallet 漏洞攻擊的經過

安全研究人員和鏈上分析師已開始拼湊攻擊的時間軸。根據網路安全公司 SlowMist 的說法,威脅行為者的準備跡象可追溯至 12 月初。他們的報告指出,惡意程式碼在擴充程式正式發布前就被嵌入到擴充程式建構中,這顯示這是一次精心策劃的攻擊,而非簡單的自動化攻擊。

一旦在聖誕節當天上線,被篡改的擴充程式就收集了敏感的使用者數據,包括助記詞,並將其傳輸到攻擊者控制的遠端伺服器。將助記詞匯入擴充程式的受害者在幾分鐘內就看到他們的錢包被清空,即使他們遵循了常見的安全措施。

在整個加密貨幣社群中,鏈上調查人員標記了數百個受此次漏洞影響的錢包。資產透過混幣服務的快速轉移使追蹤被盜資金的工作變得複雜,使恢復工作充滿挑戰。

更廣泛的市場感受到了這一消息的衝擊,此時加密貨幣價格已經承受壓力。儘管與今年大規模交易所駭客攻擊相比,此次損失規模相對較小,但該事件引起了對基於瀏覽器的錢包基礎設施和供應鏈安全的新審查。

與此同時,趙長鵬公開承諾賠償損失,旨在向使用者保證該事件不會導致個人財務損失。他的訊息強調,受影響的資金將從 Trust Wallet 的儲備金中賠償,而且問題似乎僅限於被篡改的擴充程式。

一些行業觀察人士提出了疑問,惡意版本是如何通過審查並透過官方管道發布的。

早期有跡象表明,此次漏洞可能涉及供應鏈妥協甚至內部人員知情,因為被修改的程式碼能夠潛入官方發布版本。這些說法在論壇和社交平台上引發了辯論,一些使用者對內部控制和審查流程表達了擔憂。

Trust Wallet 已做出回應,優先發布修補後的擴充程式,並要求使用者立即更新。還建議受影響的使用者生成新的助記詞,並將資產遷移到安全環境中。

本文 Trust Wallet 創辦人 CZ 承諾退還聖誕節駭客攻擊中損失的 700 萬美元首次出現在 Technext。