近日,加密钱包巨头Trust Wallet的Chrome浏览器扩展因官方商店的“程序错误”而暂时下架,导致其包含圣诞黑客事件受害者赔付工具的新版本发布受阻。此次事件不仅使去年圣诞节高达700万美元的资金被盗案再次成为焦点,更引发了市场对浏览器扩展钱包安全性与中心化分发渠道脆弱性的深度担忧。分析师指出,这或为整个Web3钱包安全生态敲响警钟。
据Trust Wallet首席执行官Eowyn Chen在社交媒体上透露,团队在向Chrome Web Store提交新版本时“遭遇了一个程序错误”,致使扩展程序暂时无法使用。值得注意的是,这个被延误的版本包含了一项关键功能:帮助在圣诞黑客事件中受损的用户验证并提交资金赔付申请。Chen同时警告用户,在最新版本恢复上架前,需警惕Chrome商店中可能出现的假冒Trust Wallet扩展。
回顾事件背景,去年圣诞节期间,Trust Wallet遭遇严重安全漏洞,超过700万美元用户资金被盗。事后,Trust Wallet承诺对受损方进行赔付。据其事件报告分析,攻击者很可能利用了名为“Sha1-Hulud”的供应链漏洞,该漏洞通过污染区块链开发者广泛使用的npm软件包,影响了整个加密行业。报告进一步指出,在此次事件中,Trust Wallet的GitHub开发“密钥”遭泄露,使得威胁行为者得以访问其浏览器扩展的源代码及Chrome Web Store的API密钥,并借此上传了恶意版本。
这一系列事件凸显了连接互联网的热钱包及浏览器扩展钱包的固有风险。跨政府区块链顾问Anndy Lian在事件后评论称:“这类‘黑客攻击’并不寻常,内部人员作案的可能性很高。”币安联合创始人CZ也认同这一观点,认为攻击者对Trust Wallet代码的熟悉程度暗示了内部关联。市场分析认为,从供应链攻击到潜在的内外勾结风险,加密资产存储正面临多维度的安全挑战。
展望未来,此次Trust Wallet扩展的“技术性下架”与圣诞黑客案的余波,预计将促使行业更加关注钱包的安全架构与代码审计。投资者应关注两个核心趋势:一是硬件冷钱包等离线存储方案可能重新获得市场青睐;二是钱包服务商与浏览器商店等中心化分发平台之间的安全责任划分将更为明确。随着监管与用户对安全需求的提升,建立透明、可验证且抗单点故障的资产托管与分发机制,将成为下一阶段行业竞争的关键。对于普通用户而言,在依赖浏览器扩展等便捷工具时,保持对官方渠道的警惕并优先考虑资产安全分层配置,是当下的必要之举。
