安全隐患于12月25日围绕Trust Wallet浏览器扩展程序浮现,区块链调查员ZachXBT标记了可疑活动,该活动可能与最近的更新有关,引发了开发者和安全导向账户的警告。
根据在X上流传的帖子,该问题可能源于12月24日浏览器扩展程序更新中引入的疑似供应链妥协。
扩展程序内新增的代码可能在用户导入助记词时悄悄窃取敏感钱包数据。这些声称表明这导致了钱包即时被清空。
涉嫌Trust Wallet恶意代码和数据窃取声称
检查该扩展程序的开发者声称,更新中添加的JavaScript文件包含伪装成分析的逻辑。
据称该代码专门在导入助记词时激活。然后它会悄悄地将钱包相关数据传输到一个被设计成类似官方Trust Wallet基础设施的外部域名。
报告中提到的域名据称仅在几天前注册,之后已下线。
研究人员认为,其最近创建的时间以及扩展程序更新的时机引发了对协同供应链攻击的担忧,而非用户端钓鱼。
用户报告导入助记词后钱包被清空
多名用户报告称,在将助记词导入Trust Wallet浏览器扩展程序后不久,钱包就被清空。
公开分享的估计显示,可能损失超过200万美元。尽管这些数字尚未得到独立验证。
分析师指出,资金通过多个地址转移,这种模式更常与自动化利用相关,而非孤立的用户错误。
范围似乎仅限于浏览器扩展程序
目前没有迹象表明Trust Wallet的移动应用程序受到影响。
在线流传的警告专门针对浏览器扩展程序。这是更新机制和第三方依赖性带来更高供应链风险的地方。
建议用户在获得进一步澄清之前,不要将助记词导入Trust Wallet浏览器扩展程序。
Trust Wallet尚未发布官方回应
截至撰写本文时,Trust Wallet尚未发布任何公开回应、澄清或安全公告来处理这些指控。
既没有确认也没有否认这些声称,也没有宣布扩展程序、回滚或紧急修补程序。
调查持续进行中
研究人员强调,情况仍在积极调查中。在扩展程序代码和相关链上活动得到全面审查之前,不应得出结论。
如果得到证实,该事件将代表严重的供应链妥协。
这是一类与钓鱼或用户端错误明显不同的攻击。此外,它在历史上已导致整个加密生态系统的快速、大规模损失。
最后想法
- 这些指控指向影响钱包扩展程序的潜在严重供应链风险,强调了如果受到妥协,代码更新如何成为关键攻击载体。
- 由于Trust Wallet尚未回应,用户和研究人员只能依赖独立调查,因为对该事件的审查仍在继续。
来源: https://ambcrypto.com/zachxbt-flags-suspected-trust-wallet-extension-issue-as-users-report-drained-funds/
