2025-12-26 14:23:46

Tiện ích mở rộng trình duyệt Trust Wallet đã bị tấn công chuỗi cung ứng trong phiên bản 2.68. Tin tặc đã chặn thành công thông tin cụm từ hạt giống đã nhập của người dùng bằng cách cấy mã độc được ngụy trang dưới dạng công cụ phân tích PostHog. Chỉ trong vòng vài giờ, hàng trăm ví đã nhanh chóng được làm trống, với khoản lỗ được xác nhận vượt quá 7 triệu đô la.

Mức độ nghiêm trọng của sự cố này nằm ở khả năng tàng hình của nó - mã độc được ngụy trang thành một thư viện phân tích dữ liệu chung và rất khó phát hiện. Người dùng nạn nhân hoàn toàn không biết rằng cụm từ hạt giống của mình đã bị đánh cắp trong thời gian thực khi anh ta nhập ví.

Một quan chức từ một sàn giao dịch hàng đầu sau đó đã lên tiếng, nói rằng họ sẽ bồi thường đầy đủ cho người dùng nạn nhân và đảm bảo an toàn cho tiền. Cam kết này là một sự trấn an kịp thời.

Nhưng sự cố này cũng phơi bày một vấn đề sáo rỗng: mặc dù ví không lưu ký tuyên bố là tự kiểm soát, nhưng bản thân các tiện ích mở rộng trình duyệt thực sự có rủi ro cao. Quyền plugin quá mức, kiểm tra mã khó khăn và nhiều liên kết chuỗi cung ứng - bất kỳ điểm yếu nào cũng có thể trở thành một bước đột phá.

Bài học trực tiếp nhất là:**Ví nóng của trình duyệt không thích hợp để lưu trữ số tiền lớn, chứ đừng nói đến việc nhập các cụm từ ghi nhớ theo ý muốn**。 Ví lạnh và ví cứng là tư thế chính xác để lưu trữ lâu dài. Nếu phải sử dụng ví nóng, bạn cũng phải kiểm soát chặt chẽ hạn ngạch và rút bao nhiêu tùy thích. Ngoài ra, điều quan trọng là phải thường xuyên kiểm tra phiên bản plugin và chú ý đến các thông báo bảo mật chính thức.

Làn sóng sự cố này một lần nữa nhắc nhở cả cộng đồng rằng trong khi chăm sóc bản thân, trách nhiệm tự bảo vệ bản thân cũng phải theo kịp.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

11 thích

Phần thưởng
11
4
Đăng lại
Retweed

Bình luận

0/400

RektRecorder

· 12-26 14:48

7 triệu đô la đã biến mất ngay lập tức, đó là cái giá của việc không sử dụng ví cứng --- Nó lại là một trình cắm trình duyệt, và PostHog quá xảo quyệt --- Bồi thường? Nghe có vẻ hay, nhưng tôi vẫn không nghĩ nó đơn giản như vậy --- Thành thật mà nói, ví nóng nên được sử dụng với số tiền nhỏ, ai dám gửi nhiều tiền vào đó --- Như tôi đã nói cách đây rất lâu, nếu bạn giữ ví của riêng mình, tin tặc vẫn có thể chơi bạn đến chết --- Làm trống hàng trăm ví trong vài giờ hiệu quả như thế nào --- Ví lạnh thực sự thơm, và bây giờ tôi càng hiểu câu này nhiều hơn --- Có dễ lấp đầy lỗ hổng trong chuỗi cung ứng không, tôi cảm thấy bài học này đủ sâu sắc

Xem bản gốcTrả lời0

IfIWereOnChain

· 12-26 14:42

7 triệu đô la đã biến mất, thật tuyệt vời --- Đó lại là nồi ví của trình duyệt, và từ lâu người ta đã nói rằng không chạm vào ví nóng để mở rộng tiền --- Da PostHog? Tin tặc thực sự tàn nhẫn --- Việc bồi thường trao đổi không sao, nếu không vấn đề sẽ hoàn toàn dang dở --- Bạn vẫn sử dụng các cụm từ ghi nhớ để hướng dẫn bạn đến trình duyệt? Đây là tự gây ra --- Ví cứng không bao giờ lỗi mốt và chúng được đập nhiều lần để học cách trở nên thông minh --- Bây giờ nó tốt và tôi phải lo lắng về phiên bản Trust Wallet của mình một lần nữa --- Các cuộc tấn công chuỗi cung ứng là đáng sợ nhất và không thể bảo vệ được --- Tại sao tôi phải sử dụng tiện ích mở rộng trình duyệt, tôi thực sự không hiểu --- Làm trống hàng trăm ví trong vài giờ là hiệu quả một cách nực cười

Xem bản gốcTrả lời0

YieldFarmRefugee

· 12-26 14:39

7 triệu đô la đã biến mất, ôi Chúa ơi, đây có còn là web3 không? --- Lại là ví trình duyệt, đừng nói với tôi rằng bạn vẫn đang sử dụng thứ này để tiết kiệm tiền --- PostHog khá ngụy trang, ai có thể nhìn thấy điều này... Cảm thấy mệt mỏi --- Bồi thường đầy đủ? Sàn giao dịch đã làm rất tốt trong làn sóng này, và cuối cùng nó không phải là dang dở --- Tự bảo vệ và tự bảo vệ nghe có vẻ tốt, nhưng bạn vẫn phải tự cẩn thận --- Ví lạnh Nó không có mùi thơm? Bạn phải chết và nhét rất nhiều tiền vào ví nóng của mình --- Tôi chỉ muốn hỏi những người bạn trống rỗng đó nếu họ không kiểm tra số phiên bản thường xuyên --- Các cuộc tấn công chuỗi cung ứng là không thể ngăn chặn và có cảm giác như bất kỳ ai cũng có thể lật đổ --- Nếu không có khoản bồi thường từ sàn giao dịch, cộng đồng ước tính sẽ rất tức giận --- Quyền tiện ích mở rộng trình duyệt lớn đến mức đã đến lúc phải chăm sóc chúng

Xem bản gốcTrả lời0

RetiredMiner

· 12-26 14:30

7 triệu đô la đã biến mất và Trust Wallet đang chơi lớn lần này --- Thực sự không thể ngăn chặn chuỗi cung ứng một lần nữa --- Không có gì ngạc nhiên khi tôi cứ nói đừng tiết kiệm tiền nếu bạn có ví nóng, bây giờ nó tốt --- Bồi thường đầy đủ? Chỉ cần lắng nghe, và sau đó nó sẽ là tất cả những thứ vô nghĩa --- PostHog cũng giống nhau như vậy, đội ngũ kiểm toán có phải là một vật trang trí không? --- Đó là lý do tại sao các vị trí lớn của tôi nằm trong ví cứng của tôi --- Làm trống hàng trăm ví trong vài giờ, tin tặc thực sự hiệu quả --- Các plugin trình duyệt là một quả bom hẹn giờ tích tắc --- Một kinh nghiệm khác, vòng tròn này không thể học được, mọi người --- Nhập từ hạt giống vào ví mềm tương đương với việc đưa khóa nhà cho tin tặc --- Ví lạnh là vua, và ví nóng luôn là một canh bạc --- Do đó, việc tự nuôi con không quá thơm, và bạn phải đề phòng nó --- Trust Wallet có thể nhận được một nửa tín dụng lần này --- Nguyên tắc đề cập đến bao nhiêu lẽ ra phải được khắc sâu vào tâm trí mọi người từ lâu --- Đó là một bài học đẫm máu khác, và tôi không biết khi nào vòng tròn này sẽ dừng lại

Xem bản gốcTrả lời0