近日,知名加密货币钱包扩展程序 Trust Wallet 再次曝出严重安全事件。多名用户反映,其浏览器扩展版本疑似遭到恶意“投毒”,黑客通过植入恶意代码窃取用户钱包助记词,并在后台持续向远程服务器回传关键信息,导致大规模资产被盗。
安全研究人员指出,受影响的带毒版本在用户正常创建或导入钱包时,悄然收集助记词数据。相关信息显示,黑客在12月25日圣诞节前后开始集中转移资金,目前已确认的用户损失金额合计超过600万美元,且实际损失规模仍可能进一步扩大。
截至目前,黑客具体是如何劫持、篡改或投毒 Trust Wallet 扩展程序仍未有权威结论,不排除涉及第三方分发渠道、更新链路或供应链安全漏洞。业内人士提醒,类似攻击具有高度隐蔽性,一旦助记词泄露,资产几乎无法追回。
安全专家建议,使用加密钱包的用户应立即核查所安装的 Trust Wallet 扩展版本来源,暂停使用存在风险的扩展程序,并尽快将资产转移至新创建、未暴露助记词的钱包中。同时,应警惕任何异常授权请求,避免在不可信环境中输入助记词或私钥。
此次事件再次引发市场对加密资产钱包供应链安全和用户自我防护意识的关注,也为整个行业敲响了警钟。
