导语:近日,Trust Wallet浏览器扩展因谷歌Chrome商店的“漏洞”而暂时下架,导致其包含对圣诞黑客事件受害者赔偿工具的新版本发布延期。这一事件将去年圣诞节导致超700万美元用户资金被盗的安全漏洞再次推至风口浪尖,也引发了市场对加密货币钱包浏览器扩展安全性的深度担忧。
核心观点与数据:据Trust Wallet首席执行官Eowyn Chen在社交平台X上透露,公司在发布新版本时“遇到了Chrome Web Store的漏洞”,因此导致扩展程序“暂时不可用”。值得注意的是,此次延期发布的新版本中,包含了一项关键功能,旨在帮助去年圣诞节黑客事件的受害者验证并提交他们的赔偿申请。该次黑客事件造成了超过700万美元的用户资金损失,Trust Wallet已承诺对受损方进行赔偿。
市场背景与事件深度分析:此次事件并非孤立。根据Trust Wallet的事故报告,攻击者很可能是通过名为“Sha1-Hulud”的供应链漏洞发起的攻击,该漏洞通过破坏区块链应用开发者使用的npm软件包,影响了整个加密行业。报告指出,在此次事件中,Trust Wallet的GitHub开发“密钥”遭泄露,这使得威胁行为者得以访问其浏览器扩展的源代码以及Chrome Web Store的应用程序编程接口(API)密钥。攻击者随后利用该API密钥,向Chrome商店上传了恶意版本的Trust Wallet浏览器扩展。
这一系列操作暴露了连接互联网的加密货币热钱包及浏览器扩展的固有风险。跨政府区块链顾问Anndy Lian在事件后评论称:“这类‘黑客攻击’并不寻常。内部人员的可能性很高。”币安联合创始人CZ也同意这一观点,认为黑客很可能因熟悉Trust Wallet代码而来自内部。
结尾预测与警示:在最新版本上线前,Chen已警告用户需对Chrome Web Store上出现的假冒Trust Wallet浏览器扩展程序保持“警惕”。分析师指出,随着加密资产价值攀升和钱包应用普及,针对钱包服务商和供应链的攻击或将成为未来安全威胁的主要方向。投资者应关注钱包服务商的安全审计透明度与应急响应机制,同时,行业亟待建立更严格的浏览器扩展商店审核标准与供应链安全规范,以防范此类“内部”或供应链攻击的重演。此次事件再次证明,在去中心化的世界里,中心化入口点的安全同样至关重要。
