區塊鏈調查員 ZachXBT 於 12 月 25 日報告稱,多名 Trust Wallet 用戶在過去幾小時內經歷了未經授權的資金外流。
受影響用戶表示,資產在未經批准的情況下從他們的錢包地址中被抽走。
贊助
贊助
Trust Wallet 用戶的重大安全警告?
根據 ZachXBT 的說法,確切的根本原因仍未確認。然而,時機引發了擔憂。今天的事件發生在 Trust Wallet 的 Chrome 擴充功能於一天前發布最新更新之後。
ZachXBT 已開始收集與疑似盜竊有關的錢包地址,並要求受影響的用戶在調查持續進行時挺身而出。
ZachXBT 在其 Telegram 群組上向 Trust Wallet 用戶發布社群警報儘管 Trust Wallet 尚未發布詳細的技術說明,但這一情況重新引發了對基於瀏覽器的加密貨幣錢包的審查。
Chrome 擴充功能以提升的權限運行。安全研究人員一再警告,單一惡意更新或受損的依賴項可能會使用戶面臨重大風險。
近幾個月已經出現了幾起備受矚目的與擴充功能相關的錢包威脅。
贊助
贊助
安全公司此前標記了旨在捕獲助記詞的假冒錢包擴充功能,使攻擊者能夠完全重建錢包並在之後抽走資金。
最近報告的會抽走加密貨幣錢包資金的假冒 Chrome 擴充功能。來源: The Hacker News在其他案例中,惡意交易「輔助」擴充功能悄悄修改交易指令,每次用戶批准交換時都會抽走少量加密貨幣。
更廣泛地說,網路安全研究人員記錄了涉及看似合法的瀏覽器擴充功能的活動,這些擴充功能後來被更新以注入腳本、重新導向流量或收集敏感資料。
雖然並非總是針對加密貨幣,但此類功能可以被重新利用來針對錢包會話、登入流程或交易批准。
在這種背景下,Trust Wallet 的報告在加密貨幣社群中引發了即時關注。
用戶被敦促審查最近的交易,撤銷不必要的權限,並避免簽署新交易,直到出現更多明確訊息。
那些懷疑遭到入侵的用戶被建議將剩餘資金轉移到使用新助記詞創建的新錢包中。
截至發布時,Trust Wallet 尚未確認 Chrome 擴充功能更新是否直接負責。
來源: https://beincrypto.com/zachxbt-trust-wallet-security-warning-user-funds-drained/
