近日,Trust Wallet浏览器扩展因谷歌Chrome Web Store的“漏洞”而暂时无法使用,导致一项旨在帮助圣诞黑客事件受害者提交赔偿申请的关键更新被推迟。这起涉及700万美元的失窃事件,再次将加密钱包,尤其是浏览器扩展和热钱包的安全性问题推向风口浪尖。分析师指出,此次事件暴露了从供应链到内部管理的多重风险。
据Trust Wallet首席执行官Eowyn Chen在社交媒体上透露,团队在发布新版本时遇到了Chrome Web Store的漏洞。值得注意的是,这个被推迟的版本包含一个重要功能,允许在圣诞节黑客事件中遭受损失的用户验证并提交资金赔偿申请。同时,Chen警告用户,在官方最新版本上线前,需警惕Chrome商店中可能出现的假冒Trust Wallet扩展。
此次风波源于去年圣诞节发生的严重安全事件。当时,Trust Wallet遭黑客攻击,造成超过700万美元的用户资金损失,Trust Wallet随后承诺对受损方进行赔偿。市场背景分析认为,这并非孤例。随着Web3应用的普及,连接互联网的热钱包和浏览器扩展插件已成为黑客攻击的高危目标。相关报告显示,与朝鲜相关的盗窃案及薄弱的密钥管理是造成Web3领域巨额损失的主要原因。
根据Trust Wallet的事件报告,攻击者很可能通过名为“Sha1-Hulud”的供应链漏洞得手。该漏洞通过破坏区块链应用开发者广泛使用的npm软件包,影响了整个加密行业。报告进一步指出,在此次Sha1-Hulud事件中,Trust Wallet的GitHub开发“密钥”遭泄露,使得威胁行为者能够访问其浏览器扩展的源代码及Chrome Web Store的应用程序编程接口(API)密钥。攻击者随后便利用该API密钥,向Chrome商店上传了恶意版本的Trust Wallet扩展。
针对此事,跨政府区块链顾问Anndy Lian评论称:“这类‘黑客攻击’并不寻常,内部人员作案的可能性很高。”币安联合创始人CZ(赵长鹏)也同意这一观点,认为黑客对Trust Wallet代码的熟悉程度暗示其可能是内部人士。这引发了行业对项目内部安全管控和权限管理的深度思考。
结尾预测方面,随着此类安全事件的频发,加密行业对钱包安全,特别是对浏览器扩展和热钱包的审计与风控将变得空前严格。投资者应关注具备强大安全架构、采用多重签名或硬件级隔离方案的托管及自托管解决方案。未来,合规的安全审计和透明的应急响应机制,或将成为钱包服务商赢得用户信任的核心竞争力。
