2025-12-26 14:23:46

La extensión del navegador Trust Wallet sufrió un ataque en la cadena de suministro en la versión 2.68. El hacker interceptó con éxito la información de frases semilla importadas del usuario implantando código malicioso disfrazado de herramienta de análisis PostHog. En tan solo unas horas, cientos de carteras se vaciaron rápidamente, con pérdidas confirmadas que superaron los 7 millones de dólares.

La gravedad de este incidente radica en su sigilo: el código malicioso está disfrazado como una biblioteca común de análisis de datos y es difícil de detectar. El usuario víctima no tenía ni idea de que su frase semilla estaba siendo robada en tiempo real cuando importó la cartera.

Un funcionario de una de las principales bolsas intervino entonces, diciendo que compensaría plenamente a los usuarios víctimas y garantizaría la seguridad de los fondos. Este compromiso es una garantía oportuna.

Pero este incidente también puso de manifiesto un problema de la costumbre: aunque las carteras no custodiales afirman ser autocontroladas, las propias extensiones de navegador son en realidad de alto riesgo. Permisos excesivos de plugins, auditorías de código difíciles y muchos eslabones de la cadena de suministro: cualquier debilidad puede convertirse en un avance.

La lección más inmediata es:**Los hot wallets de los navegadores no son adecuados para almacenar grandes cantidades de dinero, y mucho menos para importar frases mnemónicas a voluntad**。 Las carteras frías y hardware son la postura correcta para el almacenamiento a largo plazo. Si tienes que usar una cartera caliente, también debes controlar estrictamente la cuota y retirar todo lo que uses. Además, también es importante revisar regularmente la versión del plugin y prestar atención a los anuncios oficiales de seguridad.

Esta oleada de incidentes recuerda una vez más a toda la comunidad que, aunque se cuida a uno mismo, también debe mantenerse al día.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.

11 me gusta

Recompensa
11
4
Republicar
Compartir

Comentar

0/400

RektRecorder

· 12-26 14:48

700万美元瞬间没了，这就是不用硬钱包的代价啊 --- 又是浏览器插件搞事，PostHog伪装得可太狡猾了 --- ¿Compensación? Suena bien, pero todavía creo que esto no es tan simple --- Hablando en serio, las carteras frías deberían usarse solo para pequeñas cantidades, ¿quién se atrevería a guardar grandes sumas allí? --- Ya lo dije, las carteras autogestionadas deben ser guardadas por uno mismo, los hackers aún pueden hacerte daño --- Cientos de carteras vacías en unas horas, qué eficiencia tan alta --- La cartera fría es realmente buena, ahora entiendo cada vez más esa frase --- ¿Es fácil tapar los agujeros en la cadena de suministro? Parece que esta lección fue bastante profunda

Ver originalesResponder0

IfIWereOnChain

· 12-26 14:42

7 millones de dólares se han ido, es increíble --- Es otra vez el bote de las carteras de navegador, y desde hace tiempo se dice que no hay que tocar la cartera caliente para aumentar el dinero --- ¿Piel de cerdo post? Los hackers son realmente despiadados --- La compensación del intercambio está bien, de lo contrario el asunto quedará completamente pendiente --- ¿Sigues usando frases mnemotécnicas para guiarte hacia el navegador? Esto es autoinfligido --- Las carteras hardware nunca pasan de moda, y se les insiste una y otra vez para aprender a ser inteligentes --- Ahora está bien, y tengo que preocuparme otra vez por mi versión de Trust Wallet --- Los ataques a la cadena de suministro son los más aterradores e indefendibles --- ¿Por qué tengo que usar una extensión de navegador? Realmente no lo entiendo --- Vaciar cientos de carteras en horas es ridículamente eficiente

Ver originalesResponder0

YieldFarmRefugee

· 12-26 14:39

700万美元没了，天哪这还是web3吗 --- 又是浏览器钱包，老哥们别跟我说还在用这玩意存钱呢 --- PostHog伪装得挺绝的，这谁能看出来啊...心累 --- ¿Reembolso total? La operación de la bolsa estuvo bien, al fin no quedó en nada --- Autoprotección, autoprotección, qué bonito suena, pero todavía hay que tener cuidado uno mismo --- ¿No es mejor la cartera fría? Tiene que meterse dinero grande en la cartera caliente --- Solo quiero preguntar a esos hermanos que fueron vaciados, ¿no revisan el número de versión periódicamente? --- Los ataques a la cadena de suministro son imparable, parece que cualquiera puede tener un fallo --- Si no fuera por la compensación de la bolsa, la comunidad probablemente estaría furiosa --- Los permisos de extensión del navegador son demasiado grandes, realmente deberían controlarlos

Ver originalesResponder0

RetiredMiner

· 12-26 14:30

700万刀没了，Trust Wallet这回玩大了 --- 又来供应链那一套，真的防不胜防啊 --- 怪不得我一直说热钱包就别存钱，现在好了 --- ¿Reembolso total? Solo es escuchar, luego siempre hay excusas y peleas --- PostHog falso tan parecido, ¿el equipo de auditoría es solo para decorar? --- Por eso mis grandes posiciones siempre están en hardware wallets --- Horas para vaciar cientos de wallets, la eficiencia del hacker es increíble --- Las extensiones de navegador son básicamente una bomba de tiempo --- Otra vez, no aprenden en este círculo, ¿verdad? --- Importar la frase semilla a una wallet blanda equivale a dar la llave de la casa a un hacker --- La cold wallet es la verdadera opción, las hot wallets son siempre una apuesta --- Por eso, la autogestión no es tan atractiva, hay que protegerse uno mismo --- Trust Wallet esta vez ha perdido la mitad de su reputación --- Usar y retirar según se necesite, esa regla debería estar en la cabeza de todos --- Otra lección sangrienta, no sé cuándo este círculo podrá estar en paz

Ver originalesResponder0