2024年12月26日、安全社区报告了令人震惊的发现。据PANews报道,著名的钱包“Trust Wallet”的浏览器扩展功能疑似感染了恶意代码,该代码窃取用户的助记词(用于恢复私钥的12~24个词的恢复短语)。这一发现通过安全研究员@im23pds和@0xakinator的详细分析得以揭示。## 恶意代码的真实面目Trust Wallet浏览器扩展版本2.68中,嵌入了一个名为“4482.js”的非法文件。乍一看,这个恶意代码伪装成普通的分析工具,但实际上隐藏着极其危险的功能。在用户导入钱包的过程中,该代码在后台自动提取助记词,并将其发送到攻击者预设的外部域名。## 助记词窃取流程与机制攻击者利用了“metrics-trustwallet[.]com”这一与官方域名极为相似的钓鱼域名。在用户毫无察觉的情况下,他们的最重要的秘密信息——助记词,被传输到该服务器。目前,该域名已无法访问,但泄露的助记词数据在多长时间、以何种规模被滥用,仍未可知。这类供应链攻击是极其恶劣的威胁,单靠个人用户的防范措施难以完全应对。## 用户应采取的紧急措施此次事件表明,即使是可信的钱包供应商,也不能保证绝对安全。Trust Wallet的用户应立即生成新的恢复短语,废弃当前的助记词。此外,使用多钱包管理工具、对重要资产采用冷钱包等措施,也是有效的防御手段。安全研究员的快速发现和报告帮助遏制了事态的扩大,但用户的警惕心和应对速度仍是应对此类事件的关键。
Trust Wallet的助记词泄露危机,安全研究人员警告新的供应链攻击
2024年12月26日、安全社区报告了令人震惊的发现。据PANews报道,著名的钱包“Trust Wallet”的浏览器扩展功能疑似感染了恶意代码,该代码窃取用户的助记词(用于恢复私钥的12~24个词的恢复短语)。这一发现通过安全研究员@im23pds和@0xakinator的详细分析得以揭示。
恶意代码的真实面目
Trust Wallet浏览器扩展版本2.68中,嵌入了一个名为“4482.js”的非法文件。乍一看,这个恶意代码伪装成普通的分析工具,但实际上隐藏着极其危险的功能。在用户导入钱包的过程中,该代码在后台自动提取助记词,并将其发送到攻击者预设的外部域名。
助记词窃取流程与机制
攻击者利用了“metrics-trustwallet[.]com”这一与官方域名极为相似的钓鱼域名。在用户毫无察觉的情况下,他们的最重要的秘密信息——助记词,被传输到该服务器。目前,该域名已无法访问,但泄露的助记词数据在多长时间、以何种规模被滥用,仍未可知。这类供应链攻击是极其恶劣的威胁,单靠个人用户的防范措施难以完全应对。
用户应采取的紧急措施
此次事件表明,即使是可信的钱包供应商,也不能保证绝对安全。Trust Wallet的用户应立即生成新的恢复短语,废弃当前的助记词。此外,使用多钱包管理工具、对重要资产采用冷钱包等措施,也是有效的防御手段。安全研究员的快速发现和报告帮助遏制了事态的扩大,但用户的警惕心和应对速度仍是应对此类事件的关键。