近日,Trust Wallet浏览器扩展因谷歌Chrome Web Store的“漏洞”而暂时下架,导致其包含对700万美元圣诞黑客事件受害者索赔工具的新版本发布延迟。这一事件不仅暴露了中心化应用商店的单点故障风险,更将加密钱包,尤其是浏览器扩展与热钱包的安全性问题再次推至风口浪尖。
据Trust Wallet首席执行官Eowyn Chen在社交媒体上透露,团队在发布新版本时“遇到了Chrome Web Store的漏洞”。这个被延迟的版本包含一项关键功能,旨在帮助圣诞节黑客事件的受害者验证并提交资金赔偿申请。Chen同时警告用户,在最新版本上线前,需对Chrome商店中可能出现的假冒Trust Wallet扩展程序保持“警惕”。
市场背景分析显示,此次事件是去年圣诞期间重大安全事件的后续。当时,Trust Wallet遭黑客攻击,损失超过700万美元的用户资金,平台随后承诺对受损方进行赔偿。安全报告指出,攻击者很可能通过名为“Sha1-Hulud”的供应链漏洞发起攻击,该漏洞通过破坏区块链应用开发者使用的npm软件包,影响了整个加密行业。报告进一步披露,Trust Wallet的GitHub开发“密钥”在此次事件中泄露,使得攻击者能够访问其浏览器扩展的源代码及Chrome Web Store的API密钥,并借此上传了恶意版本的扩展程序。
值得注意的是,此次攻击的性质引发了业内关于“内部作案”可能性的讨论。跨政府区块链顾问Anndy Lian在事件后评论称:“这种‘黑客攻击’并不寻常。内部人员的可能性很高。”币安联合创始人CZ(赵长鹏)也认同,鉴于攻击者对Trust Wallet代码的熟悉程度,其很可能是一名内部人员。这为加密项目方的内部控制和权限管理敲响了警钟。
投资者应关注,此类事件凸显了连接到互联网的热钱包及浏览器扩展钱包的固有风险。尽管它们提供了便利性,但也成为了黑客攻击的高价值目标。随着加密资产价值攀升,针对钱包的供应链攻击、网络钓鱼和内部威胁等复杂攻击手段预计将更加频繁。
结尾预测:未来,加密资产存储的安全范式或将加速演变。一方面,多重签名、社交恢复等更先进的钱包技术将得到更广泛应用;另一方面,硬件冷钱包作为离线存储方案的重要性将再次被市场深刻认知。同时,监管机构可能会加强对加密货币托管服务和应用商店上架审核的关注。对于普通用户而言,采取分散存储、优先使用经过严格审计的官方渠道、并密切关注项目方安全公告,将是保护资产不可或缺的步骤。
