近日,一场针对以太坊虚拟机(EVM)链上钱包的神秘攻击引发社区高度关注。据链上侦探ZachXBT披露,已有"数百个"加密钱包资产被清空,尽管单笔损失金额不大,但波及范围广泛。网络安全研究员指出,此次事件可能与去年圣诞节造成700万美元损失的Trust Wallet黑客攻击存在潜在关联,再次为加密资产的安全存储敲响警钟。
据链上侦探ZachXBT分析,此次攻击呈现出"自动化、广撒网"的特征。攻击者从每个受害钱包中窃取的金额均低于2000美元,但影响了多个EVM兼容网络上的钱包,表明这是一次广泛性事件,而非针对单一区块链的孤立攻击。网络安全提供商Hackless警告用户,应立即撤销不必要的智能合约授权并持续监控钱包状态。
市场背景分析显示,尽管去年12月加密黑客攻击造成的总损失据PeckShield报告下降了60%,但针对钱包的供应链攻击和钓鱼手段正变得日益复杂和隐蔽。此次事件中,攻击者可能通过伪装成MetaMask官方邮件的欺诈性电子邮件为攻击载体。更值得注意的是,网络安全研究员Vladimir S.援引线索指出,这次广泛的钱包清空攻击可能与圣诞节发生的Trust Wallet黑客事件有关联。
回顾2023年12月25日的Trust Wallet攻击事件,共导致约2596个钱包受损,造成700万美元的损失。根据Trust Wallet的事件报告,攻击很可能源于11月的"Sha1-Hulud"供应链攻击,该攻击破坏了加密项目常用的npm软件包。攻击者通过泄露的Trust Wallet GitHub开发者"密钥",获取了钱包浏览器扩展的源代码,随后在Chrome网上应用商店上传了伪装成合法扩展的恶意版本。
对此,跨政府区块链顾问Anndy Lian评论称:"这种‘黑客攻击’并不自然。内部人员作案的可能性很高。"币安联合创始人兼前首席执行官赵长鹏(CZ)也同意这一观点,认为事件可能是由对Trust Wallet源代码有深入了解的内部人员所致。币安是Trust Wallet的所有者。据悉,此次攻击主要针对Trust Wallet的谷歌Chrome浏览器扩展,移动应用程序未受影响,币安已同意对用户损失进行赔偿。
结尾预测:随着加密市场的回暖与资产价值的提升,针对钱包和用户端的精细化、自动化攻击可能会更加频繁。投资者应密切关注钱包安全最佳实践,包括使用硬件钱包、谨慎授权智能合约、识别钓鱼信息等。行业预计将更加强调开源代码的安全审计和供应链风险管理,交易所及钱包服务商也可能进一步强化其安全赔付机制,以重建用户信心。在可预见的未来,链上安全侦探与自动化监控工具的角色将变得愈发关键,成为抵御此类"广撒网"式攻击的第一道防线。
