2025-12-26 14:23:46

Trust Walletбраузерне розширення у версії v2.68 зазнало атаки через ланцюг постачання. Хакери шляхом вставки шкідливого коду, маскуваного під аналітичний інструмент PostHog, успішно перехопили інформацію про мнемонічні фрази користувачів при імпорті гаманця. Лише за кілька годин сотні гаманців були швидко очищені, а підтверджені збитки перевищили 7 мільйонів доларів США.

Серйозність цієї події полягає у її прихованості — шкідливий код дуже схожий на поширені бібліотеки для аналізу даних, що ускладнює його виявлення. Постраждалі користувачі під час імпорту гаманця зовсім не усвідомлювали, що їхні мнемонічні фрази в реальному часі крадуться.

Офіційний представник однієї з провідних бірж згодом заявив, що постраждалим користувачам буде виплачено повну компенсацію, а безпека їхніх коштів забезпечена. Це обіцянка стала своєчасним заспокійливим сигналом.

Однак ця подія також виявила стару проблему: хоча некастодіальні гаманці позиціонуються як самостійне управління, насправді браузерне розширення є високоризикованим елементом. Надмірні дозволи плагінів, складність аудиту коду, багато ланцюгів постачання — будь-який з цих слабких місць може стати точкою прориву.

Найбільш очевидний урок: **браузерний гарячий гаманець не підходить для зберігання великих сум, і не слід імпортувати мнемонічні фрази без обережності**. Холодні гаманці та апаратні гаманці — правильний підхід для довгострокового зберігання. Якщо ж все ж використовуєте гарячий гаманець, обов’язково контролюйте ліміт — знімайте стільки, скільки потрібно. Також важливо регулярно оновлювати версії плагінів і слідкувати за офіційними повідомленнями про безпеку.

Ця подія ще раз нагадує всій спільноті: разом із самостійним управлінням активами потрібно відповідально ставитися до їхньої безпеки.

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

11 лайків

Нагородити
11
4
Репост
Поділіться

Прокоментувати

0/400

RektRecorder

· 12-26 14:48

7 мільйонів доларів зникають миттєво, що є ціною без використання жорсткого гаманця --- Це знову плагін для браузера, а PostHog надто хитрий --- Компенсація? Звучить добре, але я все одно не думаю, що все так просто --- Чесно кажучи, гарячий гаманець слід використовувати для дрібних сум, хто наважиться вкладати в нього багато грошей --- Як я вже казав давно, якщо ти зберігаєш власний гаманець, хакери все одно можуть тебе обдурити до смерті --- Наскільки ефективно спорожнити сотні гаманців за кілька годин? --- Холодні гаманці дуже ароматні, і тепер я все краще розумію це речення --- Чи легко заповнити порожнечу в ланцюгу постачання? Я вважаю, що цей урок достатньо глибокий

Переглянути оригіналвідповісти на0

IfIWereOnChain

· 12-26 14:42

7 мільйонів зникли, це дивовижно --- Це знову горщик браузерних гаманців, і давно кажуть, що не варто торкатися гарячого гаманця для збільшення грошей --- Шкіра після кабаня? Хакери справді безжальні --- Компенсація за обмін — це нормально, інакше справа залишиться зовсім незавершеною --- Чи досі використовуєте мнемонічні фрази, щоб орієнтуватися в браузері? Це самоспричинено --- Апаратні гаманці ніколи не виходять з моди, і їх постійно намагаються навчитися розумним --- Тепер все добре, і мені знову доводиться турбуватися про версію для Trust Wallet --- Атаки на ланцюги постачання — найстрашніші та найнебезпечніші --- Чому я маю використовувати розширення для браузера, я справді не розумію --- Спорожнення сотень гаманців за кілька годин — це неймовірно ефективно

Переглянути оригіналвідповісти на0

YieldFarmRefugee

· 12-26 14:39

$7 мільйонів зникли, о Боже, це все ще web3? --- Це знову гаманець для браузера, не кажи, що ти досі користуєшся ним, щоб заощадити гроші --- ПостХог досить замаскований, хто це може побачити... Відчуваю втому --- Повна компенсація? Біржа добре впоралася з цією хвилею, і нарешті вона не залишилася незавершеною --- Самозахист і самозахист звучать добре, але все одно потрібно бути обережним --- Холодний гаманець. Пахне неприємно? Ти маєш бути мертвим і засипати багато грошей у свій гарячий гаманець --- Я просто хочу запитати тих спорожнених друзів, чи вони регулярно перевіряють номер версії --- Атаки на ланцюги постачання незупинні, і здається, що будь-хто може їх перевернути --- Якщо від обміну не буде компенсації, громада оцінюється як розлючена --- Права доступу для розширень браузера настільки великі, що настав час їх вирішити

Переглянути оригіналвідповісти на0

RetiredMiner

· 12-26 14:30

7 мільйонів доларів зникли, і цього разу Trust Wallet грає по-крупному --- Справді неможливо знову запобігти ланцюгу постачання --- Не дивно, що я постійно кажу: не заощаджуй гроші, якщо у тебе гарячий гаманець, тепер це добре. --- Повна компенсація? Просто слухай, і тоді це буде повна нісенітниця --- PostHog дуже схожий, чи є команда аудиту декорацією? --- Ось чому мої великі посади лежать у моєму апаратному гаманці --- Спорожнивши сотні гаманців за кілька годин, хакери справді ефективні --- Плагіни для браузера — це бомба уповільненої дії --- Ще один досвід, який це коло не може засвоїти, всі --- Імпорт seed-слів у софт-гаманець еквівалентний передачі домашнього ключа хакеру --- Холодний гаманець — це король, а гарячий гаманець — це завжди ризик --- Тому самоопіка не така вже й ароматна, і від цього треба остерігатися --- Trust Wallet може отримати половину кредиту цього разу --- Принцип того, скільки згадувати, мав би давно вбити в пам'ять усім --- Це ще один клятий урок, і я не знаю, коли це коло зупиниться

Переглянути оригіналвідповісти на0