Trust Wallet于周五宣布正式启动针对其Chrome浏览器扩展程序安全事件受害者的正式赔偿流程。此前,该软件2.68版本中被发现嵌入了恶意代码,导致用户资产被盗。

事件背景:恶意代码入侵与资产流失

据区块链安全公司佩克希尔德确认,此次事件中共有价值约700万美元的数字资产在多个区块链上被盗,涉及比特币、以太坊和Solana等主流资产。截至周四,超过400万美元的资金已通过ChangeNOW、FixedFloat和KuCoin等中心化交易所转移,约280万美元仍留在攻击者钱包中。

市场反应与机构介入

币安创始人赵长鹏在X平台确认,币安将承担此次事件的所有损失。他表示:“到目前为止,此次黑客攻击已造成700万美元损失。TrustWallet将承担全部损失。”并强调用户资金“安全无虞”。这一表态有效缓解了市场恐慌情绪,但事件仍引发对加密资产存储安全性的广泛讨论。

技术溯源:API密钥泄露与发布流程绕过

事件曝光源于链上调查员ZachXBT在圣诞节当天通过Telegram发布警报,指出多名用户报告称在12月24日扩展程序更新后不久即遭遇资金被盗。Trust Wallet于12月25日推送2.69版本修复程序,首席执行官Eowyn陈表示,UTC时间12月26日上午11点前登录该扩展程序的用户可能受影响。

调查显示,泄露的Chrome网上应用商店API密钥被用于在UTC时间12月24日下午12:32发布受感染版本,绕过了Trust Wallet的标准内部发布流程。安全公司SlowMist分析指出,恶意代码利用修改后的开源分析库,窃取用户钱包助记词,实现对资产的远程控制。

赔偿流程与用户应对

受影响用户可通过官方支持表格提交索赔申请,流程托管于Trust Wallet门户网站。需提供电子邮件地址、居住国家/地区、被盗钱包地址、攻击者收款地址及交易哈希值。Trust Wallet承诺将全额赔偿所有核实后的受害者。

公司表示:“我们正在夜以继日地敲定赔偿流程的细节,每个案例都需要仔细核实,以确保准确性和安全性。”

影响范围与未来防范

本次事件仅影响使用Chrome扩展程序的用户,移动应用及其他浏览器版本未受影响。据Trust Wallet披露,其Chrome扩展程序拥有约一百万用户。此次事件暴露了第三方插件生态中潜在的安全风险,也凸显了区块链分析在追踪资金流向中的关键作用。

随着比特币波动加剧与市场趋势持续演变,用户对资产存储安全的关注度显著提升。专家建议,非必要情况下应避免使用未经验证的浏览器扩展,并优先选择硬件钱包等高安全性方案。