Trust Wallet 创办人、CZ 承诺退还圣诞节遭骇客入侵损失的 700 万美元

Trust Wallet 已承诺赔偿圣诞节当天攻击中损失的约700万美元客户资金,其创办人赵长鹏在社交平台 X 上确认了这一消息。这次突发的安全漏洞震惊了部分加密货币社群。尽管如此,赵长鹏迅速的保证旨在稳定人心,恢复大众对这款热门自托管钱包的信心。

事件发生在12月25日,当时受损版本的 Trust Wallet 浏览器扩展程式被用来抽走用户钱包中的资产。

初步调查显示,恶意代码在扩展程式2.68版本中处于活跃状态,促使未经授权的转账跨越多个区块链进行,包括 Ethereum、Bitcoin 和 Solana。几小时内,链上数据显示资金被转移到未知地址,损失迅速接近700万美元。

周五在 X 平台上的一篇帖子中,赵长鹏强调"用户资金是 SAFU 的",使用了加密货币行业流行的"用户资产安全基金"缩写。他表示 Trust Wallet 将赔偿受影响用户的损失。团队正在继续调查攻击者究竟如何能够上传和分发受损的扩展程式。

钱包服务提供者也表示,此次漏洞仅限于浏览器扩展程式。Trust Wallet 敦促用户立即停用受损版本,并更新至修复版本2.69,可通过官方 Chrome 网络商店获取。

据报导,手机应用程式用户和使用其他扩展程式版本的用户未受影响。

Trust Wallet 攻击事件如何发生

安全研究人员和链上分析师已开始拼凑攻击的时间线。根据网络安全公司 SlowMist 的说法,威胁行为者的准备迹象可追溯至12月初。他们的报告指出,恶意代码在扩展程式上线前就被嵌入到构建中,这表明是一次精心策划的攻击,而非简单的自动化攻击。

圣诞节当天上线后,受损的扩展程式收集了敏感的用户数据,包括助记词,并将其传输到攻击者控制的远程服务器。将助记词导入扩展程式的受害者在几分钟内就看到他们的钱包被清空,即使他们遵循了常见的安全措施。

在整个加密货币社群中,链上侦探标记了数百个受此漏洞影响的钱包。资产通过混币服务的快速转移使追踪被盗资金的工作变得复杂,使恢复工作充满挑战。

更广泛的市场感受到了这一消息的冲击,恰逢加密货币价格已经面临压力的时期。尽管与今年大规模交易所被黑事件相比,损失规模相对较小,但这次事件引发了对基于浏览器的钱包基础设施和供应链安全的新审查。

与此同时,赵长鹏公开承诺赔偿损失,旨在向用户保证这次事件不会导致个人财务损失。他的讯息强调,受影响的资金将从 Trust Wallet 的储备金中获得赔偿,且问题似乎仅限于受损的扩展程式。

一些行业观察者对恶意版本如何通过审查并通过官方渠道分发提出了质疑。

有初步迹象表明,鉴于修改后的代码能够潜入官方版本,此次漏洞可能涉及供应链妥协,甚至是内部知情。这些说法在论坛和社交平台上引发了辩论,一些用户对内部控制和审查流程表达了担忧。

Trust Wallet 的回应是优先发布修补的扩展程式,并要求用户立即更新。还建议受影响的用户生成新的助记词,并将资产迁移到安全环境。

帖子 Trust Wallet 创办人 CZ 誓言退还圣诞节当天黑客攻击中损失的700万美元首次出现在 Technext。