去年底加密貨幣錢包服務Trust Wallet的Chrome延伸套件遭駭,許多用戶於社群回報資產被洗劫,當時經營團隊推測,攻擊者疑似透過外流的Chrome Web Store API金鑰得逞,從外部提交惡意版本,以便繞過發布流程的檢查作業,究竟駭客如何取得金鑰,後續Trust Wallet指出,可能與近期發生的軟體供應鏈攻擊有關。
12月30日Trust Wallet公布新的調查結果,指出攻擊者取得金鑰的來源,應該就是11月發生的NPM蠕蟲供應鏈攻擊活動Sha1-Hulud(Shai-Hulud 2.0),他們藉此取得延伸套件的原始碼,以及API金鑰,從而在Chrome Web Store發布具有後門的惡意延伸套件,收集用戶的錢包敏感資料。
在11月的供應鏈攻擊當中,Trust Wallet開發團隊的GitHub機密被流出,使得攻擊者藉此掌握Chrome Web Store的API完整存取權限,能夠直接上傳有問題的延伸套件。再者,這些駭客在犯案之前,也註冊metrics-trustwallet.com及api.metrics-trustwallet.com,以便在攻擊行動裡代管惡意程式碼,供惡意延伸套件進行參照。值得留意的是,攻擊者上傳的惡意套件(2.68版),竟然能通過Chrome Web Store的審核流程並自動上架,但為何如此,Trust Wallet並未進一步說明。
該維運團隊也進一步說明影響範圍,凡是在12月24日至26日期間,曾使用2.68版Chrome延伸套件登入錢包的使用者,就有可能遭殃,他們已在這些用戶套件上顯示警訊,估計有2,520個錢包遭到掏空,損失達到約850萬美元,駭客使用17個錢包移轉這些資產。值得留意的是,他們也發現攻擊者同時在移轉與本次事故無關的其他加密貨幣資產,不過並未透露其他細節。1月3日Trust Wallet透過社群網站X透露,仍有約3.6萬個錢包存在弱點而曝險,占用戶總數的0.016%,呼籲用戶應捨棄舊錢包,儘速將資產轉移到新錢包因應。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
