新年伊始,加密世界再起波澜。据链上侦探ZachXBT披露,一场针对以太坊虚拟机(EVM)兼容链钱包的广泛攻击正在发生,已有“数百个”钱包资产被悄然抽空。尽管单笔损失金额较小(普遍低于2000美元),但其波及范围之广,再次为加密资产安全敲响了警钟。更令人担忧的是,安全研究员指出,此次事件可能与去年圣诞节造成700万美元损失的Trust Wallet黑客事件存在潜在关联。
核心观点:攻击手法隐蔽,单点损失小但范围广
据链上分析师ZachXBT调查,此次攻击并非针对单一区块链,而是影响了多个EVM兼容网络上的钱包。网络安全公司Hackless将此形容为“自动化的、广撒网式的利用”。值得注意的是,攻击者似乎通过伪装成MetaMask等合法钱包的欺诈性邮件作为入侵载体,诱导用户授权恶意智能合约,从而完成资产转移。
市场背景分析:供应链攻击与“内鬼”疑云下的安全困局
此次事件将人们的视线拉回到去年末的Trust Wallet黑客案。2023年12月25日,Trust Wallet浏览器扩展程序遭袭,导致约2596个钱包受损,总损失高达700万美元。据其事件报告分析,根源很可能在于11月发生的“Sha1-Hulud”供应链攻击,该攻击破坏了加密货币项目常用的npm软件包。
更深入的调查揭示了更严峻的问题:Trust Wallet的GitHub仓库曾发生开发者“密钥”泄露,使得攻击者能够获取钱包浏览器扩展的源代码,并随后在Chrome网上应用商店上传了伪装成合法版本的恶意扩展。对此,区块链顾问Anndy Lian及币安联合创始人CZ均指出,这种需要深度了解源代码的入侵方式,“内部人员作案的可能性很高”。
结尾预测:安全警钟长鸣,用户需主动防御
尽管币安已承诺对Trust Wallet用户损失进行赔付,且此次新攻击的单笔金额不大,但接连发生的事件清晰地表明,加密领域的网络安全威胁正在不断演变且持续存在。分析师指出,投资者应高度关注钱包安全,定期检查并撤销不必要的智能合约授权,对任何索要私钥或助记词的通信保持绝对警惕。随着攻击手段日益复杂,从供应链到内部管理,整个行业的每一个环节都需筑起更坚固的安全防线。未来,除了技术加固,如何建立更透明的安全审计与响应机制,将是所有项目方必须面对的课题。
