2025-12-26 14:23:46

Расширение браузера Trust Wallet подверглось атаке на цепочку поставок в версии 2.68. Хакер успешно перехватил импортированную пользователем информацию о seed-фразе, внедрив вредоносный код, замаскированный под инструмент анализа PostHog. Всего за несколько часов сотни кошельков были быстро опустошены, а подтверждённые убытки превысили 7 миллионов долларов.

Серьёзность этого инцидента заключается в его скрытности — вредоносный код замаскирован под обычную библиотеку анализа данных и его трудно обнаружить. Жертва-пользователь совершенно не подозревал, что его seed-фраза крадётся в реальном времени, когда он импортировал кошелёк.

Затем представитель ведущей биржи выступил, заявив, что она полностью компенсирует жертвам пользователей и обеспечит безопасность средств. Это обязательство — своевременное подтверждение.

Но этот инцидент также выявил клишированную проблему: хотя кошельки без кастодиального использования заявляют о самоконтроле, сами расширения браузера на самом деле представляют высокий риск. Чрезмерные права на плагины, сложные аудиты кода и множество связей цепочки поставок — любая слабость может стать прорывом.

Самый непосредственный урок:**Браузерные горячие кошельки не подходят для хранения больших сумм денег, не говоря уже о импорте мнемонических фраз по своему желанию**。 Холодные и аппаратные кошельки — это правильная позиция для длительного хранения. Если вам нужно использовать горячий кошелёк, нужно строго контролировать квоту и снимать столько, сколько используете. Кроме того, важно регулярно проверять версию плагина и обращать внимание на официальные объявления по безопасности.

Эта волна происшествий вновь напоминает всему сообществу, что, заботясь о себе, ответственность за самооборону также должна оставаться в ногу.

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

11 Лайков

Награда
11
4
Репост
Поделиться

комментарий

0/400

RektRecorder

· 12-26 14:48

7 миллионов долларов исчезают в одно мгновение ока — это цена отсутствия жёсткого кошелька --- Это снова плагин для браузера, а PostHog слишком хитёр --- Компенсация? Звучит хорошо, но я всё равно не думаю, что всё так просто --- Честно говоря, горячий кошелёк стоит использовать для небольших сумм, кто осмелится положить в него кучу денег --- Как я уже говорил давно, если у тебя есть свой кошелёк, хакеры всё равно могут обмануть тебя до смерти --- Насколько эффективно опустошать сотни кошельков за несколько часов? --- Холодные кошельки действительно пахнут, и теперь я всё лучше понимаю это предложение --- Легко ли заполнить дыру в цепочке поставок? Я считаю, что этот урок достаточно глубок.

Посмотреть ОригиналОтветить0

IfIWereOnChain

· 12-26 14:42

7 миллионов пропали, это потрясающе --- Это снова горшок браузерных кошельков, и давно говорят, что нельзя трогать горячий кошелёк для увеличения денег --- Кожа постхога? Хакеры действительно безжалостны --- Компенсация за обмен в порядке, иначе дело останется совершенно незавершённым --- Вы всё ещё используете мнемонические фразы, чтобы ориентироваться в браузер? Это самоубийство --- Аппаратные кошельки никогда не выходят из моды, и их постоянно настаивают, чтобы научиться быть умными --- Теперь всё хорошо, и мне снова приходится беспокоиться о версии для Trust Wallet --- Атаки на цепочку поставок — самые страшные и неконтролируемые --- Зачем мне использовать расширение для браузера, я действительно не понимаю --- Опустошать сотни кошельков за часы — это невероятно эффективно

Посмотреть ОригиналОтветить0

YieldFarmRefugee

· 12-26 14:39

7 миллионов долларов пропали, о боже, это всё ещё web3? --- Это опять браузерный кошелёк, не говори, что ты всё ещё используешь его, чтобы сэкономить деньги --- ПостХог довольно замаскирован, кто может это увидеть... Чувствую усталость --- Полная компенсация? Биржа хорошо справилась с этой волной, и она наконец-то не осталась незавершённой --- Самозащита и самозащита звучат хорошо, но всё равно нужно быть осторожным --- Холодный кошелёк. Пахнет неприятно? Ты должен быть мёртвым и кладёшь кучу денег в свой горячий кошелёк --- Я просто хочу спросить у этих опустошённых друзей, не проверяют ли они регулярно номер версии --- Атаки на цепочку поставок неостановимы, и кажется, что любой может их отменить --- Если от обмена не будет компенсации, сообщество ожидается в ярости --- Права на расширения браузера настолько велики, что пора с ними заняться

Посмотреть ОригиналОтветить0

RetiredMiner

· 12-26 14:30

7 миллионов долларов пропали, и Trust Wallet на этот раз играет крупно --- Действительно невозможно снова предотвратить цепочку поставок --- Неудивительно, что я всё время говорю: не копи деньги, если у тебя горячий кошелёк, теперь он хорош --- Полная компенсация? Просто слушай, и тогда это будет всякой чепухой --- PostHog так похож, а команда аудита — это украшение? --- Вот почему мои крупные должности лежат в аппаратном кошельке --- Опустошая сотни кошельков за несколько часов, хакеры действительно эффективны --- Плагины для браузера — это бомба замедленного действия --- Ещё один опыт, который этот круг не может научиться, все --- Импорт seed-слов в софт-кошелёк эквивалентен передаче домашнего ключа хакеру --- Холодный кошелёк — король, а горячий кошелёк — всегда лотерея --- Поэтому самоопека не так уж ароматна, и от этого нужно остерегаться --- Trust Wallet может получить половину кредита на этот раз --- Принцип того, сколько упоминать, должен был давно вбить всем в голову --- Это ещё один чёртов урок, и я не знаю, когда этот круг закончится

Посмотреть ОригиналОтветить0