近日,加密行业再起波澜。Trust Wallet首席执行官Eowyn Chen在社交媒体上证实,其谷歌Chrome浏览器扩展程序因遭遇商店“Bug”而“暂时不可用”,导致一项旨在帮助近期黑客事件受害者的新版本更新被延迟发布。此次事件将去年圣诞节期间导致超700万美元用户资金被盗的重大安全漏洞再次推至台前,引发了市场对加密钱包,尤其是浏览器扩展与热钱包安全性的深度担忧。
据市场分析,此次更新延迟的核心,正是包含了帮助圣诞节黑客事件受害者验证并提交赔偿申请的关键功能。Trust Wallet方面此前已承诺对受损用户进行全额赔付。值得注意的是,Chen同时警告用户,在最新版本上线前,需对Chrome商店中可能出现的假冒Trust Wallet扩展程序保持“警惕”。
回顾事件背景,这场始于圣诞节的攻击绝非偶然。根据Trust Wallet的事故报告,攻击者很可能利用了名为“Sha1-Hulud”的供应链漏洞。该漏洞通过攻陷区块链应用开发者广泛使用的npm软件包,影响了整个加密行业。报告进一步指出,在此次事件中,Trust Wallet的GitHub开发“密钥”遭泄露,使得威胁行为者得以访问其浏览器扩展的源代码及Chrome Web Store的应用编程接口密钥。攻击者随后便利用该API密钥,向Chrome商店上传了恶意版本的Trust Wallet扩展。
对于此次攻击的性质,业内存在不同声音。跨政府区块链顾问Anndy Lian在事件后评论称:“这种‘黑客攻击’并不自然。内部人员作案的可能性很高。”币安联合创始人CZ也同意这一观点,认为攻击者对Trust Wallet代码的熟悉程度暗示了其内部身份的可能性。这起事件连同近期其他安全报告共同揭示了一个严峻现实:与互联网连接的热钱包及浏览器扩展正成为黑客攻击的高危地带,而内部威胁与密钥管理不善是导致Web3领域巨额损失的主要因素。
展望未来,投资者与用户应重点关注两个方面:一是中心化交易所以外的去中心化资产存储工具的安全审计与风险管控;二是行业对开源代码库与供应链安全的整体防护能力是否在加强。随着加密资产规模扩大,针对钱包的攻击将更加频繁与复杂。此次Trust Wallet事件不仅是一次赔付案例,更应成为整个行业强化安全基线、审视内部管控的催化剂。只有构建更健壮的基础设施与更透明的安全响应机制,才能为下一轮市场增长奠定可信的基石。
