在2025年圣诞节当天,一场针对知名加密钱包Trust Wallet浏览器扩展的精心策划的黑客攻击,导致用户损失高达700万美元。币安联合创始人赵长鹏(CZ)迅速承诺将全额赔付用户损失,但事件暴露出的潜在“内鬼”风险与用户信息泄露问题,为整个加密货币行业的资产安全再次敲响了警钟。随着个人钱包攻击已成为加密资产被盗的主要威胁之一,投资者应如何防范?
据区块链安全公司SlowMist的分析,此次攻击的恶意代码早在12月8日就已开始准备。攻击者不仅盗取了资金,其植入的后门代码还在持续收集并向外发送用户的个人信息。SlowMist联合创始人Yu Xian指出,攻击者“非常熟悉Trust Wallet扩展的源代码”,这使其能够成功实施窃取敏感信息的后门代码。一些行业观察家因此将矛头指向了潜在的内幕活动,因为攻击者能够向官网提交新版本的扩展程序。跨政府区块链顾问Anndy Lian在其社交帖子中直言:“这种‘黑客攻击’并不自然。内部人员的可能性很高。”赵长鹏也同意,此次漏洞“很可能”是内部人员所为。
此次事件发生的背景,是个人加密钱包安全正面临日益严峻的挑战。根据Chainalysis的数据,如果将2月份Bybit被盗的14亿美元排除在外,2025年个人钱包被盗事件占被盗总价值的37%。尽管Trust Wallet此次700万美元的损失与一些大型钱包攻击相比规模较小——例如2024年2月,边玩边赚游戏Axie Infinity联合创始人Jeff Zirlin曾因疑似钱包漏洞损失价值970万美元的以太坊(ETH)——但它清晰地揭示了供应链攻击的威胁。Trust Wallet在事件发生后紧急建议桌面用户将浏览器扩展升级至2.89版本。
展望未来,中心化机构对安全事件的快速响应与赔付承诺,或将成为行业标准的一部分。赵长鹏代表币安(Trust Wallet的母公司,该钱包声称服务2.2亿用户)的赔付表态,虽然安抚了用户情绪,但无法从根本上解决去中心化世界中的安全架构难题。投资者应关注,在黑客手段日益专业化、甚至可能涉及内幕的背景下,选择经过严格审计、及时更新且具备强大安全团队支持的钱包产品至关重要。同时,多重签名、硬件钱包等冷存储方案的重要性将进一步凸显。行业在追求创新与普及的同时,必须将安全置于更核心的位置,否则任何漏洞都可能成为摧毁用户信任的“黑天鹅”。
