近期,一场波及数百个EVM兼容链钱包的神秘攻击事件,再次为加密货币行业的安全问题敲响警钟。据链上调查员ZachXBT披露,攻击者以小额、广撒网的方式从每个受害者钱包中窃取资金,单笔损失虽低于2000美元,但影响范围广泛。值得注意的是,安全研究人员将此次事件与去年圣诞节期间造成700万美元损失的Trust Wallet黑客攻击事件联系起来,揭示了潜在的安全隐患。
此次攻击的核心手法,被网络安全公司Hackless描述为“自动化、广撒网的利用”。攻击者通过伪造Web3钱包MetaMask的钓鱼邮件,诱骗用户授权恶意智能合约,从而实现对钱包资金的转移。分析师指出,这种“低价值、大规模”的攻击模式,旨在规避关注,同时积少成多,对普通用户构成了巨大威胁。
深入分析市场背景,此次事件并非孤立。其根源可追溯至去年11月发生的“Sha1-Hulud”供应链攻击,该攻击入侵了加密货币项目常用的npm软件包。Trust Wallet的安全报告显示,其GitHub上的开发者“秘密”信息被泄露,攻击者借此获得了钱包浏览器扩展程序的源代码,并上传了伪装成官方版本的恶意扩展至Chrome应用商店。这种攻击路径凸显了供应链安全在Web3生态中的极端脆弱性。
更令人警惕的是,业内专家对此事件的性质提出了更深层的质疑。政府间区块链顾问Anndy Lian直言:“这种‘黑客攻击’并不自然,内部人员作案的可能性很高。”币安联合创始人、前CEO赵长鹏(CZ)也表示赞同,认为攻击者可能是一位对Trust Wallet源代码有深入了解的内部人士。币安已同意对因此次事件遭受损失的用户进行赔偿,但这无法完全消除市场对中心化托管方内部安全管理的忧虑。
展望未来,随着加密货币应用的普及,针对钱包、交易所和底层基础设施的安全威胁将更加复杂和隐蔽。投资者应高度关注供应链攻击、钓鱼诈骗和潜在的内控风险。专家建议,用户应立即检查并撤销不必要的智能合约授权,持续监控钱包活动,并从官方渠道下载所有应用。同时,行业亟需建立更严格的代码审计、供应链管理和内部安全控制标准。可以预见,安全与隐私保护能力,将成为下一阶段决定Web3项目生存与发展的核心竞争力。
