由币安(Binance)创始人赵长鹏(CZ)拥有的加密钱包Trust Wallet遭到入侵,导致至少价值700万美元的加密货币被盗。赵长鹏已确认,该钱包平台将赔偿所有受影响用户的损失。
据加密货币调查员ZachXBT称,由于该漏洞,数百名Trust Wallet用户遭受了损失。
加密钱包再遭安全漏洞
此次安全漏洞是由于Trust Wallet谷歌Chrome浏览器扩展程序的某个版本存在漏洞造成的。开发者敦促用户禁用受影响的版本并升级到最新版本。
Trust Wallet确认该问题源于Chrome扩展程序的2.68版本。该更新于12月24日发布。安装该版本的用户随后不久便遭遇了钱包未经授权的访问。
赵在X上发帖写道:“用户资金安全无虞。团队仍在调查黑客是如何提交新版本的。”
Trust Wallet也证实,仅使用移动设备的用户和其他浏览器扩展程序的用户不受影响。
事件曝光源于链上调查员ZachXBT在圣诞节当天发布的警报。用户在安装更新后不久便报告账户余额被清空。Trust Wallet 于12月25日发布了2.69版本以移除恶意代码。
此次泄露事件与泄露的Chrome API密钥有关
Trust Wallet首席执行官Eowyn Chen表示,在UTC时间12月26日上午11点之前登录的用户在此次加密货币泄露事件中面临的风险最大。之后访问该扩展程序的用户则未受影响。
Chen在X上发帖称,内部调查结果显示,泄露的Chrome网上应用商店API密钥被用于发布这款被篡改的扩展程序。这绕过了Trust Wallet正常的发布控制流程。安全公司SlowMist表示,注入的代码通过一个修改过的分析库窃取了钱包恢复短语。
然而,Trust Wallet方面也确认,该问题仅影响其Chrome扩展程序。据该公司称,移动应用用户未受影响。Trust Wallet此次遭黑客攻击事件再次引发了人们对基于浏览器的钱包安全性和软件分发方式的关注。
Trust Wallet被盗事件引发索赔审查
Trust Wallet遭黑客攻击后,受害用户现在可以向官方支持门户提交索赔申请。申请时需要提供钱包地址、攻击者接收地址、交易哈希值和所在国家/地区。该平台表示,需要这些信息来验证每项索赔申请。
该公司表示将逐案审核理赔申请。所有提交的申请都将经过人工审核。Trust Wallet强调,在理赔过程中,准确性和安全性仍然是首要考虑因素。
Trust Wallet报告称,其价值约700万美元的数字资产被盗。受害的加密货币包括BTC、ETH、BNB和SOL。区块链安全公司PeckShield表示,被盗资金中超过400万美元已通过中心化交易所转移。
根据链上分析,转移被盗货币的平台包括ChangeNOW、FixedFloat 和KuCoin。截至发稿时,攻击者控制的钱包中仍剩余约 280 万美元。
币安支持的加密钱包
该自托管加密钱包平台拥有超过2.2亿个账户,但实际用户数量可能较低,因为用户可以创建多个账户。赵长鹏于2018年通过其持有多数股权的币安收购了该钱包,但并未透露收购价格。
最近,Trust Wallet也加入了预测市场行列,开始提供基于事件的合约服务。此前,另一款热门加密钱包MetaMask宣布计划通过独家合作整合Polymarket的预测市场。
以太坊联合创始人维塔利克·布特林(Vitalik Buterin)近期反驳了外界对预测市场的日益增长的批评,他认为预测市场的风险被夸大了,而且往往与传统金融市场中存在的风险类似。他还表示,参与预测市场比参与传统市场“更健康”,这主要是因为预测市场的结构限制了某些形式的过度投机行为。
与此同时,Trust Wallet 被黑事件并非假日期间加密货币行业发生的唯一事件。圣诞节当天(周四),币安交易所的比特币价格,尤其是BTC/USD1交易对,一度跌至24,000美元,随后反弹至87,000美元左右。此次闪崩发生在流动性较差的USD1市场,USD1是一种与World Liberty Financial挂钩的稳定币,而World Liberty Financial由美国总统唐纳德·特朗普的家族支持。