12月24日,Trust Wallet浏览器扩展发布了一个新版本。
更新看似例行。
没有伴随重大安全警告。
用户通过正常的更新流程安装了它。
此时,似乎没有任何可疑之处。
更新后,研究人员在检查扩展文件时发现了一个名为4482.js的JavaScript文件发生了变化。
关键观察:
新代码未出现在早期版本中。
它引入了与用户操作相关的网络请求。
这很重要,因为浏览器钱包是非常敏感的环境;任何新的外发逻辑都存在高风险。
新增的逻辑表现为分析或遥测代码。
具体表现:
它看起来像常用分析SDK的追踪逻辑。
并非每次都触发。
仅在特定条件下激活。
这种设计使得在随意测试时更难检测到。
社区逆向工程表明,逻辑在用户导入助记词到扩展时被触发。
为何这很关键:
导入助记词意味着钱包拥有完全控制权。
这是一次性、高价值的关键时刻。
恶意代码只需行动一次。
仅使用现有钱包的用户可能没有触发此路径。
当触发条件发生时,代码声称将数据发送到一个外部端点:
metrics-trustwallet[.]com
引发警觉的原因:
该域名看起来非常像Trust Wallet的合法子域名。
仅在几天前注册。
未公开文档说明。
后来下线了。
至少,这确认了钱包扩展存在意外的外发通信。
导入助记词后不久,用户报告:
钱包在几分钟内被清空。
多个资产被迅速转移。
不需要用户进一步操作。
链上行为显示:
自动化的交易模式。
多个目标地址。
没有明显的钓鱼授权流程。
这表明攻击者已获得足够权限签署交易。
被盗资产通过多个攻击者控制的钱包进行转移。
为何这很重要:
表明存在协调或脚本化操作。
减少对单一地址的依赖。
与有组织的攻击行为相符。
根据追踪的地址估算,转移金额达数百万美元,尽管总额有所不同。
在关注度升高后:
可疑域名停止响应。
立即没有公开解释。
截图和缓存证据变得尤为重要。
这与攻击者在被曝光后销毁基础设施的行为一致。
Trust Wallet后来确认:
一次安全事件影响了特定版本的浏览器扩展。
移动端用户未受影响。
用户应升级或禁用扩展。
然而,未立即提供完整的技术细节,解释:
域名存在的原因。
助记词是否被暴露。
这是内部、第三方还是外部问题。
这一空白引发了持续的猜测。
浏览器扩展的更新引入了新的外发行为。
用户在导入助记词后不久丢失资金。
事件局限于特定版本。
Trust Wallet承认存在安全问题。
供应链问题或恶意代码注入。
助记词或签名能力被暴露。
分析逻辑被滥用或武器化。
代码是否故意为恶或被上游攻破。
受影响的用户数量。
是否有其他数据被窃取。
攻击者的确切归属。
这不是典型的钓鱼攻击。
它突显了:
浏览器扩展的危险性。
盲目信任更新的风险。
分析代码可能被滥用的可能性。
处理助记词是钱包安全中最关键的时刻。
即使是短暂的漏洞也可能带来严重后果。
相关文章
