2026-01-12 00:54:14

#钱包安全漏洞 En voyant cette affaire Trust Wallet, ma première pensée a été l'événement The DAO de 2016. À l'époque, c'était aussi une vulnérabilité au niveau du code source, et cela s'est produit au moment le plus inapproprié — juste avant Noël, le hacker avait précisément choisi la fenêtre temporelle. L'histoire se répète de façon dérangeante.

Cette fois-ci, les méthodes de Trust Wallet sont encore plus féroces : reconnaissance le 8 décembre, installation de backdoor le 22 décembre, transfert de fonds commençant le 25 décembre, tout le rythme était parfaitement calé. L'attaquant a directement modifié le code source, utilisant PostHog, un outil légitime, comme couverture, exfiltrant les phrases mnémoniques via le champ messages d'erreur. D'un point de vue tactique et technique, ce n'est plus une simple attaque de chaîne d'approvisionnement, mais une attaque au niveau APT — les permissions des développeurs ont probablement déjà été compromises depuis longtemps.

La perte de plus de 6 millions de dollars en elle-même est choquante, mais ce qui est encore plus alarmant, c'est que cela expose une contradiction fondamentale dans la sécurité des portefeuilles : aucun algorithme de chiffrement, aussi bon soit-il, ne peut contrer une compromission interne. J'ai connu tous les incidents de sécurité, grands et petits, du monde crypto ces dernières années, et à chaque fois, je me disais "ce devrait être le dernier", mais la réalité est que tant qu'il existe un mécanisme de mise à jour centralisé, ce risque persiste toujours. MetaMask, imToken, Exodus — tous ces portefeuilles ont connu des moments similaires de terreur.

La réflexion clé est : certains investisseurs se demandent encore "la mise à jour vers la version 2.69 garantit-elle la sécurité ?", ce que je veux dire, c'est que vous posez la mauvaise question. La vraie question à se poser est : combien de confiance devez-vous encore accorder à des tiers ? Les vrais anciens joueurs qui se soucient de la sécurité ont déjà basculé vers des portefeuilles matériels ou des portefeuilles autogérés. L'ouverture et la facilité d'utilisation de Trust Wallet étaient autrefois ses avantages, mais face aux APT, tout cela devient une surface d'attaque.

Si vous utilisez toujours ce type de portefeuille d'extension, je vous recommande de faire trois choses maintenant : débranchez immédiatement et vérifiez, exportez vos clés privées vers un portefeuille hors ligne, puis — réfléchissez à la nécessité de réexaminer votre stratégie de gestion d'actifs.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.