2024年12月26日、安全性社群報告了一項震驚的發現。根據PANews的報導,知名錢包「Trust Wallet」的瀏覽器擴展功能疑似感染了惡意程式碼,該程式碼竊取用戶的助記詞(用於恢復私鑰的12至24個詞的恢復短語)。此發現由安全研究員@im23pds與@0xakinator透過詳細分析揭露。## 惡意程式碼的真面目Trust Wallet瀏覽器擴展版本2.68中,嵌入了一個名為「4482.js」的非法檔案。乍看之下,這個惡意程式碼似乎是普通的分析工具,但實際上卻藏有極其危險的功能。在用戶導入錢包的過程中,該程式碼在背景自動提取助記詞,並將其傳送至攻擊者控制的外部域名。## 助記詞竊取流程與攻擊機制攻擊者利用一個與官方域名極為相似的釣魚域名「metrics-trustwallet[.]com」進行惡意操作。用戶在不知情的情況下,其最重要的秘密資訊——助記詞,會被傳送到該伺服器。目前,該域名已無法訪問,但流出助記詞的時間範圍、規模仍不明。此類供應鏈攻擊是極其惡劣的威脅,個別用戶難以防範。## 用戶應採取的緊急措施此事件顯示,即使是可信的錢包供應商,也不能保證絕對安全。建議Trust Wallet用戶立即生成新的恢復短語,並使現有的助記詞失效。此外,使用多個錢包管理工具或對大額資產採用冷錢包,也是有效的防禦措施。安全研究員的快速發現與通報,有助於防止事件擴大,但用戶的警覺心與迅速應對,仍是克服此類事件的關鍵。
Trust Wallet的助記詞洩露危機,安全性研究人員警告新的供應鏈攻擊
2024年12月26日、安全性社群報告了一項震驚的發現。根據PANews的報導,知名錢包「Trust Wallet」的瀏覽器擴展功能疑似感染了惡意程式碼,該程式碼竊取用戶的助記詞(用於恢復私鑰的12至24個詞的恢復短語)。此發現由安全研究員@im23pds與@0xakinator透過詳細分析揭露。
惡意程式碼的真面目
Trust Wallet瀏覽器擴展版本2.68中,嵌入了一個名為「4482.js」的非法檔案。乍看之下,這個惡意程式碼似乎是普通的分析工具,但實際上卻藏有極其危險的功能。在用戶導入錢包的過程中,該程式碼在背景自動提取助記詞,並將其傳送至攻擊者控制的外部域名。
助記詞竊取流程與攻擊機制
攻擊者利用一個與官方域名極為相似的釣魚域名「metrics-trustwallet[.]com」進行惡意操作。用戶在不知情的情況下,其最重要的秘密資訊——助記詞,會被傳送到該伺服器。目前,該域名已無法訪問,但流出助記詞的時間範圍、規模仍不明。此類供應鏈攻擊是極其惡劣的威脅,個別用戶難以防範。
用戶應採取的緊急措施
此事件顯示,即使是可信的錢包供應商,也不能保證絕對安全。建議Trust Wallet用戶立即生成新的恢復短語,並使現有的助記詞失效。此外,使用多個錢包管理工具或對大額資產採用冷錢包,也是有效的防禦措施。安全研究員的快速發現與通報,有助於防止事件擴大,但用戶的警覺心與迅速應對,仍是克服此類事件的關鍵。