近日,加密货币行业再起波澜。Trust Wallet首席执行官Eowyn Chen在社交媒体上证实,其谷歌Chrome浏览器扩展程序因遭遇商店“漏洞”而暂时下架,导致一项关键更新——旨在帮助圣诞节700万美元黑客事件受害者提交索赔的功能——被迫延迟发布。这一事件不仅影响了用户资产恢复进程,更将Web3钱包,尤其是浏览器扩展与热钱包的安全性问题,再次推至风口浪尖。
根据Trust Wallet官方事件报告及首席执行官Eowyn Chen的声明,此次下架的直接原因是“在发布新版本时遇到了Chrome Web Store的漏洞”。值得注意的是,被延迟的版本包含一项重要功能,即允许在圣诞节黑客事件中受损的用户验证并提交资金 reimbursement 索赔。Chen同时警告用户,在最新版本上架前,需对Chrome商店中可能出现的假冒Trust Wallet扩展程序保持“警惕”。
此次风波根植于去年圣诞节发生的一起重大安全事件。当时,Trust Wallet遭黑客攻击,损失超过700万美元的用户资金,Trust Wallet随后承诺对受损方进行赔偿。据分析,攻击者很可能利用了名为“Sha1-Hulud”的供应链漏洞。该漏洞通过入侵区块链应用开发者广泛使用的npm软件包,影响了整个加密行业。报告指出,在此次Sha1-Hulud事件中,Trust Wallet的GitHub开发“密钥”遭泄露,使得威胁行为者得以访问其浏览器扩展的源代码及Chrome Web Store的应用编程接口(API)密钥。攻击者随后便利用该API密钥,向Chrome商店上传了恶意版本的Trust Wallet扩展程序。
对于此次攻击的性质,业内存在不同看法。跨政府区块链顾问Anndy Lian在事件发生后评论称:“这类‘黑客攻击’并不寻常。内部人员作案的可能性很高。”币安联合创始人CZ也认同此观点,认为攻击者对Trust Wallet代码的熟悉程度暗示其可能是内部人员。这一系列事件突显了连接互联网的加密钱包浏览器扩展和热钱包所面临的持续且复杂的风险,从供应链攻击到潜在的内部威胁,安全防线面临全方位考验。
展望未来,此次Trust Wallet扩展下架及背后的黑客事件,为整个加密货币行业敲响了警钟。随着Web3应用的普及,钱包作为资产入口,其安全性已成为用户和监管机构的核心关切。投资者与用户在选择和使用钱包时,应更加关注其安全架构、团队背景以及应对安全事件的响应与赔偿机制。行业分析师指出,未来,多重签名、硬件钱包集成以及更严格的开源代码审计或将成为标准配置,以构建更为健壮的资产防护体系。对于普通用户而言,在享受去中心化金融便利的同时,保持安全意识、谨慎管理私钥,并时刻警惕网络钓鱼和假冒应用,是保护自身资产不可或缺的一课。
