导语:新年伊始,加密货币安全领域再起波澜。据知名链上侦探ZachXBT披露,一场针对以太坊虚拟机(EVM)兼容链上钱包的广泛攻击正在发生,已有“数百个”钱包被悄然掏空。值得注意的是,网络安全专家Vladimir S.指出,此次事件可能与去年圣诞节造成700万美元损失的Trust Wallet黑客事件存在潜在关联,再次为加密资产安全敲响了警钟。
核心事件:广撒网式低额攻击,手法或为钓鱼邮件
根据ZachXBT的调查,此次攻击呈现出“广撒网、低价值”的特点。虽然波及范围广泛,影响了多个EVM兼容网络,但单个钱包的损失金额相对有限,普遍低于2000美元。网络安全提供商Hackless分析称,“这看起来像是一次自动化的、大范围的漏洞利用”。网络安全研究员Vladimir S.则根据线索推测,攻击者可能使用了伪装成Web3钱包MetaMask官方通知的欺诈性电子邮件作为攻击载体,诱骗用户授权。
市场背景分析:供应链攻击余波未平,内鬼疑云再起
此次钱包被盗事件,将人们的视线再次拉回到去年底那场严重的供应链攻击。2023年12月25日,Trust Wallet浏览器扩展程序遭黑客攻击,导致约2596个钱包受损,损失高达700万美元。Trust Wallet的事后报告指出,根本原因很可能要追溯到11月发生的“Sha1-Hulud”供应链攻击,该攻击侵入了加密货币项目普遍用于构建区块链应用的npm软件包。
更令人担忧的是,有分析认为此次事件可能存在“内鬼”因素。Trust Wallet的开发者“密钥”从其GitHub仓库泄露,使得攻击者能够访问其浏览器扩展的源代码。随后,攻击者将恶意版本的扩展程序上传至Chrome网上应用店,伪装成正版应用。对此,政府间区块链顾问Anndy Lian直言:“这种‘黑客攻击’并不自然。内部人员的可能性很高。”币安联合创始人、前CEO赵长鹏(CZ)也同意这一观点,认为事件可能源于对Trust Wallet源代码有深入了解的内部人士。币安是Trust Wallet的所有者。
不过,Trust Wallet强调,此次攻击仅针对其谷歌Chrome浏览器扩展,移动端应用未受影响,且币安已同意对用户的损失进行赔偿。
结尾预测与行业警示
尽管根据PeckShield的数据,2023年12月加密货币因黑客攻击造成的损失同比下降了60%,但此次事件表明,安全威胁并未远去,而是变得更加隐蔽和多样化。从供应链攻击到钓鱼邮件,再到潜在的内鬼风险,加密资产持有者面临的威胁矩阵正在不断扩大。
分析师指出,投资者应持续关注钱包安全,定期检查并撤销不必要的智能合约授权,对所有看似官方的通信保持高度警惕。未来,随着加密货币应用的普及,针对用户和开发基础设施的复合型攻击可能会更加频繁。行业在追求创新的同时,必须将安全置于核心地位,建立更健壮的多重防御体系,才能保障整个生态的长期健康发展。
