12 月 26 日上午,Trust Wallet 发布安全警报,确认其浏览器扩展 2.68 版本中存在漏洞。运行版本 2.68 的用户应立即禁用该扩展程序并使用官方 Chrome 网上应用店链接升级到版本 2.69。
PeckShield 监控显示,黑客利用 Trust Wallet 漏洞已从受害者那里窃取了超过 600 万美元的加密资产。
目前,大约 280 万美元的被盗资金仍留在黑客的钱包中(通过比特币、EVM 和 Solana 链),而超过 400 万美元已转移到中心化交易所:约 330 万美元转移到 ChangeNOW,约 340,000 美元转移到 FixFloat,约 447,000 美元转移到 Kucoin。
随着受影响用户数量激增,Trust Wallet 2.68 版本的代码审核立即开始。慢雾安全分析师对比了2.68.0版本(受损)和2.69.0(补丁)的源代码,发现攻击者植入了看似合法的数据收集代码。这有效地将官方扩展变成了窃取隐私的后门。
分析:信任钱包开发者设备或代码存储库可能是受损
慢雾安全团队将 Trust Wallet 浏览器扩展版本 2.68.0 确定为主要攻击媒介。通过与修补后的2.69.0版本进行比较,安全专家发现旧版本中存在高度混淆的恶意代码段,如下所示。
该后门代码集成了 PostHog 以捕获一系列敏感用户数据(包括助记词),并将其发送到位于 api.metrics-trustwallet[.]com 的攻击者服务器。
根据代码更改和链上活动,慢雾提供了以下预计的攻击时间表:
- 12 月 8 日:攻击者开始准备。
- 12 月 22 日:带后门的 2.68 版本发布。
- 12月25日:攻击者利用圣诞节假期,利用窃取的助记词转移资金。随后事件曝光。
SlowMist的分析还表明,攻击者对Trust Wallet的扩展源代码非常熟悉。值得注意的是,虽然修补版本(2.69.0)已阻止恶意传输,但它并未删除 PostHog JS 库。
慢雾首席信息安全官23pds在社交媒体上表示,“根据慢雾的分析,有理由相信Trust Wallet开发者设备或代码存储库可能受到攻击者控制。请立即断开网络连接并检查所有相关设备。”他强调,“受Trust钱包版本影响的用户,在导出助记词转移资产之前,必须先断开网络,否则在线打开钱包可能会导致资产被盗。任何有助记词备份的人,都应该先转移资产,再升级钱包。”
频繁的插件安全事件
他还指出,攻击者似乎对 Trust Wallet 的扩展代码非常熟悉,他们植入了 PostHog JS 来收集各种钱包用户数据。修补后的Trust Wallet版本仍然没有删除PostHog JS。
这起官方 Trust Wallet 版本成为木马的事件让市场想起了近年来针对热钱包前端的几起备受瞩目的攻击。这些案例中的攻击方法和根本原因为理解此漏洞提供了宝贵的背景。
- 当官方渠道变得不安全时
针对软件供应链和分销渠道的攻击与此 Trust Wallet 事件最为相似。在这种情况下,用户只是因为下载“官方软件”而受害,尽管他们并没有犯任何错误。
Ledger Connect Kit 中毒(2023 年 12 月):黑客利用网络钓鱼攻击硬件钱包巨头 Ledger 的前端代码库,上传恶意更新。这通过虚假连接弹出窗口污染了包括 SushiSwap 在内的几个主要 dApp 前端。该事件被认为是教科书式的“供应链攻击”,证明即使是拥有强大安全声誉的公司,在其 Web2 分发渠道(例如 NPM)中仍然容易受到单点故障的攻击。
Hola VPN 和 Mega Extension 劫持(2018 年):2018 年,流行 VPN 服务 Hola 的 Chrome 扩展程序的开发者帐户遭到泄露。攻击者使用恶意代码推送了“官方更新”,专门针对并窃取 MyEtherWallet 用户的私钥。
- 代码缺陷:助记符暴露的风险
除了供应链攻击之外,钱包处理敏感数据(例如助记词和私钥)的缺陷也可能导致重大资产损失。
Slope 钱包日志系统敏感数据争议(2022 年 8 月):Solana 生态系统经历了大规模的加密货币盗窃,调查重点针对 Slope 钱包。其中一个版本将私钥或助记词发送到Sentry服务(指Slope团队私有部署的Sentry实例,而不是官方的Sentry服务)。不过,安全公司指出,调查尚未最终确定根本原因,还需要进一步的技术分析。
Trust Wallet 低熵密钥生成漏洞(CVE-2023-31290,利用可追溯至 2022/2023):Trust Wallet 浏览器扩展被发现随机性不足,允许攻击者利用 32 位种子的可枚举性。这使得能够有效识别和推导某些版本中可能受影响的钱包地址,从而导致盗窃。
- 官方扩展程序与假冒扩展程序之间的斗争
浏览器扩展钱包和搜索生态系统长期以来一直面临假冒插件、下载页面、更新弹出窗口和客户服务消息的问题。从非官方来源安装或在钓鱼网站上输入助记词/私钥可能会立即耗尽资产。当官方发布也存在风险时,用户的安全边界进一步缩小,二次诈骗往往在混乱中激增。
截至撰写本文时,Trust Wallet 已敦促所有受影响的用户立即升级。然而,随着被盗资产在链上的持续流动,这场“圣诞抢劫”的后果还远未结束。
无论是 Slope 的明文日志还是 Trust Wallet 的恶意后门,历史都会以令人不安的方式重演。每个加密货币用户都应该记住:永远不要盲目信任单个软件端点。定期审核授权、资产存储多元化、对可疑版本更新保持警惕——这是在加密“黑暗森林”中航行的基本生存法则。