导语:新年伊始,加密世界再响安全警报!据链上侦探ZachXBT披露,一场针对以太坊虚拟机(EVM)兼容链钱包的“广泛但低价值”攻击正在蔓延,已造成“数百个”钱包资产被悄然吸走。值得注意的是,网络安全研究员指出,此次攻击手法可能与去年圣诞节造成700万美元损失的Trust Wallet黑客事件存在潜在关联,为2024年的加密资产安全敲响了第一记警钟。
核心攻击模式与数据曝光:广撒网式“小额吸血”
据链上调查人员ZachXBT分析,此次攻击呈现出“自动化、广撒网”的特征。攻击者并非针对单一高价值目标进行巨额盗取,而是广泛侵袭多个EVM兼容网络上的钱包,从每个受害者处窃取低于2000美元的较小金额。网络安全提供商Hackless警告称,这种模式使得攻击更隐蔽,不易被用户立即察觉。分析师指出,攻击者可能通过伪造MetaMask等知名Web3钱包的“钓鱼邮件”作为入侵载体,诱导用户授权恶意智能合约。
市场背景与历史关联:供应链攻击阴影重现
此次事件将市场的目光再次拉回到去年底的严重安全漏洞。网络安全研究员Vladimir S.认为,本次广泛的钱包失窃攻击,可能与2023年12月25日发生的Trust Wallet黑客事件存在联系。在那次事件中,约有2596个钱包受损,造成高达700万美元的损失。根据Trust Wallet的事后报告,根源很可能在于去年11月发生的“Sha1-Hulud”供应链攻击,该攻击破坏了加密货币项目常用的npm软件包。
更令人担忧的是,事件细节揭示了内部风险。Trust Wallet的GitHub仓库曾发生开发者“密钥”泄露,使得攻击者能够获取其浏览器扩展的源代码,并随后在Chrome网上应用商店上传了伪装成合法版本的恶意扩展。对此,区块链顾问Anndy Lian直言:“这种‘黑客攻击’并不自然,内部人员作案的可能性很高。”币安联合创始人CZ也同意,事件可能源于对Trust Wallet源代码有深入了解的内部人士。
安全建议与未来预测:警惕成为下一个目标
面对不断演化的网络安全威胁,投资者应保持高度警惕。Hackless建议用户立即检查并撤销不必要的智能合约授权,并持续监控钱包活动。尽管Trust Wallet的移动应用未受影响,且币安已承诺对用户损失进行赔偿,但此事件凸显了私钥管理和来源验证的极端重要性。
结尾预测:随着加密应用的普及,针对钱包和基础设施的复杂攻击预计将持续增加。供应链攻击和社交工程结合的手法可能成为新常态。行业在追求创新的同时,必须将安全审计和用户教育提升至前所未有的战略高度。未来,去中心化身份验证和硬件钱包的采用,或将成为普通用户抵御此类“广撒网”攻击的关键防线。
