Trust Wallet 漏洞数周前已被策划，用户将获得全额赔偿

Daripada mengeksploitasi kelemahan secara tiba-tiba, penyerang nampaknya telah dengan sabar meletakkan diri mereka di dalam aliran kerja sambungan pelayar dompet tersebut. Insiden ini akhirnya membawa kepada kerugian kira-kira $7 juta, menjejaskan beratus-ratus pengguna desktop yang telah memasang versi tertentu sambungan tersebut.

Kemas kini menjadi titik masuk

Insiden ini tertumpu pada sambungan pelayar Chrome Trust Wallet versi 2.68. Pengguna yang menjalankan versi tersebut tanpa disedari berinteraksi dengan kod yang dikompromi, manakala dompet mudah alih tidak terjejas. Trust Wallet kemudiannya menggesa pengguna untuk segera menaik taraf ke versi yang lebih baharu sebaik sahaja aktiviti mencurigakan dikesan.

Apa yang menjadikan kes ini luar biasa ialah masa berlakunya. Walaupun dana dikuras pada Hari Krismas, penyelidik keselamatan blockchain mengatakan eksploitasi itu telah disediakan jauh lebih awal, menunjukkan penyerang menunggu sehingga cukup ramai pengguna terdedah sebelum mencetuskan kecurian.

Pintu belakang, bukan penggodaman kasar

Menurut penemuan yang dikongsi oleh SlowMist, kod berniat jahat yang dibenamkan dalam sambungan itu melangkaui membolehkan pemindahan tanpa kebenaran. Ia juga mengumpul data pengguna dan secara senyap menghantarnya ke pelayan luaran yang dikawal oleh penyerang.

Pengasas bersama SlowMist Yu Xian menerangkan operasi berbilang langkah: persediaan awal pada bulan Disember, penyisipan pintu belakang beberapa hari sebelum Krismas, dan pelaksanaan sebaik sahaja persekitaran bersedia. Tahap penjujukan itu menunjukkan pengetahuan mendalam tentang seni bina sambungan tersebut.

Beratus-ratus dompet, satu pengurasan yang diselaraskan

Penyiasat blockchain ZachXBT mengenal pasti beratus-ratus dompet yang terjejas, dengan dana dipindahkan dengan cepat dan dalam corak yang serupa. Konsistensi merentas transaksi mengukuhkan pandangan bahawa ini bukan kesilapan pengguna atau pancingan data, tetapi eksploitasi terselaras yang dilaksanakan secara berskala.

Walaupun kerugian $7 juta adalah kecil berbanding beberapa penggodaman kripto bersejarah, ia menonjol kerana menyasarkan dompet peribadi dan bukannya bursa, kategori yang terus berkembang sebagai permukaan serangan.

Binance berjanji pembayaran balik

Trust Wallet dimiliki oleh Binance, dan Changpeng Zhao mengesahkan bahawa pengguna yang terjejas akan diberi pampasan sepenuhnya. Zhao mengakui keseriusan insiden itu dan berkata kerugian akan dilindungi, mengehadkan kesan kewangan langsung kepada mangsa.

Jaminan itu, bagaimanapun, tidak banyak meredakan kebimbangan tentang bagaimana sambungan yang dikompromi dapat sampai kepada pengguna pada mulanya.

Akses orang dalam di bawah penelitian

Pelbagai tokoh industri membangkitkan penggera mengenai sifat eksploitasi tersebut. Keupayaan penyerang untuk menolak versi sambungan yang diubah suai dan kebiasaan mendalam mereka dengan pangkalan kod menyebabkan sesetengah pihak mengesyaki penglibatan dalaman.

Penasihat blockchain Anndy Lian secara terbuka mempersoalkan sama ada serangan sedemikian boleh berlaku tanpa pengetahuan orang dalam. Zhao sendiri menyuarakan pandangan tersebut, menyatakan secara terbuka bahawa pelanggaran itu "kemungkinan besar" merupakan kerja orang dalam.

Amaran yang lebih luas untuk pengguna dompet

Insiden Trust Wallet berlaku di tengah-tengah peralihan yang lebih luas dalam ancaman keselamatan kripto. Menurut Chainalysis, kompromi dompet peribadi menyumbang lebih daripada satu pertiga daripada kerugian kripto pada tahun 2025 apabila penggodaman Bybit yang luar biasa besar dikecualikan.

Apabila bursa mengukuhkan pertahanan mereka, penyerang semakin menyasarkan sambungan pelayar dan dompet peribadi, di mana mekanisme kemas kini dan kepercayaan pengguna boleh dieksploitasi dengan lebih mudah.

Melangkaui kerugian $7 juta

Walaupun pembayaran balik mungkin menutup bab kewangan, insiden itu meninggalkan persoalan yang lebih besar tanpa jawapan. Bagaimanakah kod yang dikompromi digunakan? Siapa yang mempunyai akses kepada saluran sambungan? Dan berapa banyak risiko serupa wujud merentas pembekal dompet lain?

Buat masa ini, eksploitasi Trust Wallet berdiri sebagai peringatan bahawa dalam kripto, kelemahan yang paling berbahaya mungkin bukan pada blockchain itu sendiri, tetapi pada lapisan perisian yang digunakan pengguna untuk mengaksesnya.

Maklumat yang diberikan dalam artikel ini adalah untuk tujuan pendidikan sahaja dan tidak membentuk nasihat kewangan, pelaburan, atau perdagangan. Coindoo.com tidak menyokong atau mengesyorkan sebarang strategi pelaburan atau mata wang kripto tertentu. Sentiasa jalankan penyelidikan anda sendiri dan berunding dengan penasihat kewangan berlesen sebelum membuat sebarang keputusan pelaburan.

Catatan Trust Wallet Exploit Planned Weeks Ahead, Users to Be Fully Compensated muncul pertama kali di Coindoo.